Abo
  • IT-Karriere:

SigSpoof: Signaturen fälschen mit GnuPG

In bestimmten Situationen lässt sich die Signaturprüfung von GnuPG in den Plugins für Thunderbird und Apple Mail austricksen. Der Grund: Über ungefilterte Ausgaben lassen sich Statusmeldungen des Kommandozeilentools fälschen. Doch der Angriff funktioniert nur unter sehr speziellen Bedingungen.

Artikel veröffentlicht am , Hanno Böck
Nach Efail die nächste Sicherheitslücke in GnuPG - diesmal lassen sich Signaturen fälschen.
Nach Efail die nächste Sicherheitslücke in GnuPG - diesmal lassen sich Signaturen fälschen. (Bild: Markus Brinkmann)

Eine Sicherheitslücke im Zusammenspiel von GnuPG und bestimmten Mailplugins erlaubt es unter bestimmten Umständen, die Signaturprüfung auszutricksen. Der Grund: Auf GnuPG aufbauende Tools und Mailplugins parsen die Ausgabe des Kommandozeilentools - und in die lassen sich unter Umständen gültig aussehende Statusnachrichten einschleusen. Entdeckt wurde die SigSpoof getaufte Lücke von Marcus Brinkmann, dem Entwickler des GnuPG-Forks NeoPG, und Kai Michaelis.

Stellenmarkt
  1. Lidl Dienstleistung GmbH & Co. KG, Neckarsulm
  2. Rational AG, München

Der Hintergrund des Ganzen ist eine eher ungewöhnliche Designentscheidung bei GnuPG. Die gesamte Funktionalität wird nicht über eine API bereitgestellt, sondern ausschließlich über ein Kommandozeilentool. Wenn externe Programme wie beispielsweise Plugins für Mailclients GnuPG nutzen, rufen sie das Kommandozeilentool mit einem entsprechenden Parameter auf, der zur Ausgabe von Statusmessages führt. Diese sind erkennbar durch einen vorangestellten String "[GNUPG:]".

Ungefilterte Dateinamen erlauben Einfügen von Statusmessages

Neben diesen maschinenlesbaren Statusmessages gibt GnuPG für den Nutzer lesbare Statusmitteilungen aus, die an einem vorangestellten "gpg:" erkennbar sind. Und hier gibt es eine Möglichkeit, maschinenlesbare Statusmessages einzufügen. Im OpenPGP-Datenformat lässt sich ein Dateiname angeben, der von GnuPG unter bestimmten Umständen ungefiltert ausgegeben wurde und auch Zeilenumbrüche enthalten kann.

Damit ist es möglich, einen Dateinamen zu konstruieren, der eine gültige Statusmessage enthält. Ein Angreifer kann nun eine Nachricht erzeugen, die verschlüsselt ist und keine Signatur enthält. Als Dateinamen enthält sie jedoch Statusnachrichten, die eine Signatur suggerieren.

Damit der Angriff funktioniert, müssen jedoch zwei Voraussetzungen erfüllt sein: Beim Parameter für die Statusnachrichten wird ein Dateidescriptor übergeben. Nur wenn hier "2" (der Standard-Dateidescriptor für die Fehlerausgabe) angegeben wird, werden die zwei Arten von Statusnachrichten vermischt. Außerdem wird der Dateiname nur ausgegeben, wenn GnuPG im "Verbose"-Modus läuft.

Ersteres ist bei den beiden populärsten GnuPG-basierten Mailplugins - Enigmail für Thunderbird und GPGTools für Apple Mail - der Fall. Ob die "Verbose"-Nachrichten ausgegeben werden hängt von der lokalen Konfiguration von GnuPG ab. Standardmäßig ist das nicht der Fall, allerdings finden sich im Netz einige Anleitungen und Beispielkonfigurationen, die das Aktivieren dieser Option empfehlen.

In Enigmail auch Angriffe über User-IDs möglich

Eine weitere, ähnlich gelagerte Lücke betrifft ausschließlich Enigmail. Hier lassen sich mittels User-IDs aus Public Keys Statusmessages generieren. Wenn ein Angreifer sein Opfer dazu bringen kann, einen bestimmten manipulierten Schlüssel zu importieren, kann er damit ebenso Nachrichten erzeugen, die so aussehen, als hätten sie eine gültige Signatur von einem beliebigen Schlüssel.

Nutzer von GnuPG und darauf basierenden Verschlüsselungslösungen sollten entsprechende Updates schnell einspielen. Für GnuPG selbst wurde bereits letzte Woche die Version 2.2.8 veröffentlicht, welche die Ausgabe von mehrzeiligen Dateinamen verhindert. In Enigmail wurden die Bugs in Version 2.0.7 behoben, für das Apple-Mail-Plugin GPGTools schließt ein Update auf Version 2018.3 die Lücke.

Nachtrag vom 14. Juni 2018, 9:47 Uhr

Wir haben nachträglich im letzten Absatz aktuelle Informationen zum GPGTools-Update hinzugefügt.



Anzeige
Hardware-Angebote
  1. 127,99€ (Bestpreis!)
  2. (reduzierte Überstände, Restposten & Co.)

devman 14. Jun 2018

Immer wieder schön sowas zu lesen. Es ist was, was man nicht selbst so eben mal...


Folgen Sie uns
       


Fernsteuerung für autonome Autos angesehen

Das Fraunhofer-Institut für Offene Kommunikationssysteme zeigt die Fernsteuerung von Autos über Mobilfunk.

Fernsteuerung für autonome Autos angesehen Video aufrufen
Energie: Wo die Wasserstoffqualität getestet wird
Energie
Wo die Wasserstoffqualität getestet wird

Damit eine Brennstoffzelle einwandfrei arbeitet, braucht sie sauberen Wasserstoff. Wie aber lassen sich Verunreinigungen bis auf ein milliardstel Teil erfassen? Am Testfeld Wasserstoff in Duisburg wird das erprobt - und andere Technik für die Wasserstoffwirtschaft.
Ein Bericht von Werner Pluta

  1. Autos Elektro, Brennstoffzelle oder Diesel?
  2. Energiespeicher Heiße Steine sind effizienter als Brennstoffzellen
  3. Klimaschutz Großbritannien probt für den Kohleausstieg

In eigener Sache: Neue Workshops zu agilem Arbeiten und Selbstmanagement
In eigener Sache
Neue Workshops zu agilem Arbeiten und Selbstmanagement

Wir haben in unserer Leserumfrage nach Wünschen für Weiterbildungsangebote gefragt. Hier ist das Ergebnis: Zwei neue Workshops widmen sich der Selbstorganisation und gängigen Fehlern beim agilen Arbeiten - natürlich extra für IT-Profis.

  1. In eigener Sache ITler und Board kommen zusammen
  2. In eigener Sache Herbsttermin für den Kubernetes-Workshop steht
  3. Golem Akademie Golem.de startet Angebote zur beruflichen Weiterbildung

Forschung: Mehr Elektronen sollen Photovoltaik effizienter machen
Forschung
Mehr Elektronen sollen Photovoltaik effizienter machen

Zwei dünne Schichten auf einer Silizium-Solarzelle könnten ihre Effizienz erhöhen. Grünes und blaues Licht kann darin gleich zwei Elektronen statt nur eines freisetzen.
Von Frank Wunderlich-Pfeiffer

  1. ISS Tierbeobachtungssystem Icarus startet
  2. Sun To Liquid Solaranlage erzeugt Kerosin aus Sonnenlicht, Wasser und CO2
  3. Shell Ocean Discovery X Prize X-Prize für unbemannte Systeme zur Meereskartierung vergeben

    •  /