`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Что для вас является метрикой простоя серверной инфраструктуры?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Найден баг PGP, уже 20 лет позволявший подделывать цифровые подписи

+22
голоса

Найден баг PGP, уже 20 лет позволявший подделывать цифровые подписи

Цифровые подписи используются для аутентификации источника зашифрованного сообщения, программного обновления или резервной копии. Обычно они защищены частным ключом, однако серия уязвимостей в популярных инструментах шифрования электронной почты позволяет в ряде случаев подделывать подпись с помощью публичного ключа или Key ID, которые часто публикуются в открытой сети.

Уязвимость в GnuPGP, названная SigSpoof или CVE-2018-12020, по утверждению открывшего её Маркуса Бринкманна (Marcus Brinkmann) «глубоко укоренилась в нашей базовой инфраструктуре и может влиять на её большую часть». Конфиденциальные сообщения e-mail, на которые десятилетиями полагались многие люди, занятые в критических для экономики и безопасности отраслях, как оказалось, могли быть подделкой.

Проблемы не ограничиваются электронной почтой, под вопросом оказалась аутентичность большинства прошлых обновлений ПО, резервных копий и исходного кода в системах версионного контроля, таких как Git.

Баг CVE-2018-12020 делает возможной подделку, только если в установках уязвимого ПО задан многословный режим (verbose), используемый в отладочных целях. По умолчанию он отключен, однако в ряде рекомендуемых конфигураций, доступных онлайн, (например, cooperpair safe defaults, Ultimate GPG и Ben’s IT-Kommentare) этот режим активирован. Для этого, последнего случая, в сообщении Бринкманна описываются три концептуальных варианта спуфинговых атак, которые работают для GnuPG, Enigmail, GPGTools, python-gnupg, и, возможно, для многих других инструментов безопасности.

Всё упомянутые утилиты уже получили патч, закрывающий самую критическую уязвимость, а для Enigmail и Simple Password Store также подготовлены исправления двух связанных спуфинговых ошибок CVE-2018-12019 и CVE-2018-12356.

Бринкманн сообщил, что проблема прослеживается до версии GnuPG 0.2.2, датируемой 1998 годом.

Информация об этих трёх багах, выложенная Бринкманном в прошлую среду (после выхода патчей), углубляет кризис доверия к технологиям защиты конфиденциальности электронной переписки. Месяц назад исследователи обнародовали другой пакет уязвимостей (Efail), позволявших хакерам читать сообщения e-mail, зашифрованные с помощью PGP или S/MIME.

+22
голоса

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT