Ładowanie Wydarzenia

« All Wydarzenia

Czy każdy może podpisać Twojego maila za Ciebie?

O poważnej podatności w mechanizmach szyfrowania w wielu popularnych klientach pocztowych pisaliśmy niedawno tutaj: https://imns.pl/akademia/kryptografia-to-za-malo/.

Dwie takie poważne słabości ujawnione w ciągu miesiąca można by nazwać plagą – co niniejszym czynimy.

Tym razem problem dotyczy wyłącznie szyfrowania PGP, mimo to wydaje się być jeszcze poważniejszy. Co prawda nie umożliwia odszyfrowania e-maila, a “jedynie” sfałszowanie złożonego pod nim podpisu elektronicznego i nadanie niezaszyfrowanemu listowi wszelkich cech bycia zaszyfrowanym. Atak SigSpoof  możliwy jest przy określonych kombinacji wersji GnuPG oraz różnych klientów pocztowych – nie są one jednak żadną rzadkością.

Na czym polega ?

Otóż powszechnym rozwiązaniem jest, że klient pocztowy w celu weryfikacji otrzymanej wiadomości PGP  wywołuje zewnętrzne polecenie “gpg” – przetwarzające daną wiadomość – a następnie parsuje wyjście z wykonania tego polecenia w celu określenia min. czy podpis wiadomości jest prawidłowy.

W wadliwych konfiguracjach metadane wiadomości  dotyczące jej cech kryptograficznych pochodzące z polecenia “gpg” uzupełnianie są o nazwę pliku załączonego do wiadomości. Nazwa pliku może jednak zawierać znaki końca linii, które… powodują złamanie tekstu z metadanymi. Czy już widać podatność?

Atakujący (nadawca) może wstrzyknąć w nazwę załączonego do wiadomości pliku koniec linii a po nich metadane, które przekonają klienta pocztowego ofiarę (odbiorcę) że list posiada dowolny podpis kryptograficzny lub że został zaszyfrowany. Kolejny przykład ataku na kryptografię bez jej…atakowania. Użytkownikom PGP/GPG w poczcie zalecamy aktualizację klientów pocztowych oraz ich wtyczek.