Abo
  • Services:

SigSpoof: Signaturen fälschen mit GnuPG

In bestimmten Situationen lässt sich die Signaturprüfung von GnuPG in den Plugins für Thunderbird und Apple Mail austricksen. Der Grund: Über ungefilterte Ausgaben lassen sich Statusmeldungen des Kommandozeilentools fälschen. Doch der Angriff funktioniert nur unter sehr speziellen Bedingungen.

Artikel veröffentlicht am , Hanno Böck
Nach Efail die nächste Sicherheitslücke in GnuPG - diesmal lassen sich Signaturen fälschen.
Nach Efail die nächste Sicherheitslücke in GnuPG - diesmal lassen sich Signaturen fälschen. (Bild: Markus Brinkmann)

Eine Sicherheitslücke im Zusammenspiel von GnuPG und bestimmten Mailplugins erlaubt es unter bestimmten Umständen, die Signaturprüfung auszutricksen. Der Grund: Auf GnuPG aufbauende Tools und Mailplugins parsen die Ausgabe des Kommandozeilentools - und in die lassen sich unter Umständen gültig aussehende Statusnachrichten einschleusen. Entdeckt wurde die SigSpoof getaufte Lücke von Marcus Brinkmann, dem Entwickler des GnuPG-Forks NeoPG, und Kai Michaelis.

Stellenmarkt
  1. netvico GmbH, Stuttgart
  2. Versicherungskammer Bayern, Saarbrücken

Der Hintergrund des Ganzen ist eine eher ungewöhnliche Designentscheidung bei GnuPG. Die gesamte Funktionalität wird nicht über eine API bereitgestellt, sondern ausschließlich über ein Kommandozeilentool. Wenn externe Programme wie beispielsweise Plugins für Mailclients GnuPG nutzen, rufen sie das Kommandozeilentool mit einem entsprechenden Parameter auf, der zur Ausgabe von Statusmessages führt. Diese sind erkennbar durch einen vorangestellten String "[GNUPG:]".

Ungefilterte Dateinamen erlauben Einfügen von Statusmessages

Neben diesen maschinenlesbaren Statusmessages gibt GnuPG für den Nutzer lesbare Statusmitteilungen aus, die an einem vorangestellten "gpg:" erkennbar sind. Und hier gibt es eine Möglichkeit, maschinenlesbare Statusmessages einzufügen. Im OpenPGP-Datenformat lässt sich ein Dateiname angeben, der von GnuPG unter bestimmten Umständen ungefiltert ausgegeben wurde und auch Zeilenumbrüche enthalten kann.

Damit ist es möglich, einen Dateinamen zu konstruieren, der eine gültige Statusmessage enthält. Ein Angreifer kann nun eine Nachricht erzeugen, die verschlüsselt ist und keine Signatur enthält. Als Dateinamen enthält sie jedoch Statusnachrichten, die eine Signatur suggerieren.

Damit der Angriff funktioniert, müssen jedoch zwei Voraussetzungen erfüllt sein: Beim Parameter für die Statusnachrichten wird ein Dateidescriptor übergeben. Nur wenn hier "2" (der Standard-Dateidescriptor für die Fehlerausgabe) angegeben wird, werden die zwei Arten von Statusnachrichten vermischt. Außerdem wird der Dateiname nur ausgegeben, wenn GnuPG im "Verbose"-Modus läuft.

Ersteres ist bei den beiden populärsten GnuPG-basierten Mailplugins - Enigmail für Thunderbird und GPGTools für Apple Mail - der Fall. Ob die "Verbose"-Nachrichten ausgegeben werden hängt von der lokalen Konfiguration von GnuPG ab. Standardmäßig ist das nicht der Fall, allerdings finden sich im Netz einige Anleitungen und Beispielkonfigurationen, die das Aktivieren dieser Option empfehlen.

In Enigmail auch Angriffe über User-IDs möglich

Eine weitere, ähnlich gelagerte Lücke betrifft ausschließlich Enigmail. Hier lassen sich mittels User-IDs aus Public Keys Statusmessages generieren. Wenn ein Angreifer sein Opfer dazu bringen kann, einen bestimmten manipulierten Schlüssel zu importieren, kann er damit ebenso Nachrichten erzeugen, die so aussehen, als hätten sie eine gültige Signatur von einem beliebigen Schlüssel.

Nutzer von GnuPG und darauf basierenden Verschlüsselungslösungen sollten entsprechende Updates schnell einspielen. Für GnuPG selbst wurde bereits letzte Woche die Version 2.2.8 veröffentlicht, welche die Ausgabe von mehrzeiligen Dateinamen verhindert. In Enigmail wurden die Bugs in Version 2.0.7 behoben, für das Apple-Mail-Plugin GPGTools schließt ein Update auf Version 2018.3 die Lücke.

Nachtrag vom 14. Juni 2018, 9:47 Uhr

Wir haben nachträglich im letzten Absatz aktuelle Informationen zum GPGTools-Update hinzugefügt.



Anzeige
Top-Angebote
  1. 499€ (Bestpreis!)
  2. 569€ (Bestpreis!)
  3. 64,90€ für Prime-Mitglieder (Vergleichspreis 72,88€)
  4. (u. a. LG OLED65W8PLA für 4.444€ statt 4.995€ im Vergleich)

devman 14. Jun 2018

Immer wieder schön sowas zu lesen. Es ist was, was man nicht selbst so eben mal...


Folgen Sie uns
       


Toshiba Dynaedge ausprobiert

Das Dynaedge ist wie Google Glass eine Datenbrille. Allerdings soll sie sich an den industriellen Sektor richten. Die Brille paart Toshiba mit einem tragbaren PC - für Handwerker, die beide Hände und ein PDF-Dokument brauchen.

Toshiba Dynaedge ausprobiert Video aufrufen
Norsepower: Stahlsegel helfen der Umwelt und sparen Treibstoff
Norsepower
Stahlsegel helfen der Umwelt und sparen Treibstoff

Der erste Test war erfolgreich: Das finnische Unternehmen Norsepower hat zwei weitere Schiffe mit Rotorsails ausgestattet. Der erste Neubau mit dem Windhilfsantrieb ist in Planung. Neue Regeln der Seeschifffahrtsorganisation könnten bewirken, dass künftig mehr Schiffe saubere Antriebe bekommen.
Ein Bericht von Werner Pluta

  1. Car2X Volkswagen will Ampeln zuhören
  2. Innotrans Die Schiene wird velosicher
  3. Logistiktram Frankfurt liefert Pakete mit Straßenbahn aus

Künstliche Intelligenz: Wie Computer lernen
Künstliche Intelligenz
Wie Computer lernen

Künstliche Intelligenz, Machine Learning und neuronale Netze zählen zu den wichtigen Buzzwords dieses Jahres. Oft wird der Eindruck vermittelt, dass Computer bald wie Menschen denken können. Allerdings wird bei dem Thema viel durcheinandergeworfen. Wir sortieren.
Von Miroslav Stimac

  1. Innotrans KI-System identifiziert Schwarzfahrer
  2. USA Pentagon fordert KI-Strategie fürs Militär
  3. KI Deepmind-System diagnostiziert Augenkrankheiten

Probefahrt mit Tesla Model 3: Wie auf Schienen übers Golden Gate
Probefahrt mit Tesla Model 3
Wie auf Schienen übers Golden Gate

Die Produktion des Tesla Model 3 für den europäischen Markt wird gerade vorbereitet. Golem.de hat einen Tag in und um San Francisco getestet, was Käufer von dem Elektroauto erwarten können.
Ein Erfahrungsbericht von Friedhelm Greis

  1. 1.000 Autos pro Tag Tesla baut das hunderttausendste Model 3
  2. Goodwood Festival of Speed Tesla bringt Model 3 erstmals offiziell nach Europa
  3. Elektroauto Produktionsziel des Tesla Model 3 erreicht

    •  /