+22 голоса |
Цифровые подписи используются для аутентификации источника зашифрованного сообщения, программного обновления или резервной копии. Обычно они защищены частным ключом, однако серия уязвимостей в популярных инструментах шифрования электронной почты позволяет в ряде случаев подделывать подпись с помощью публичного ключа или Key ID, которые часто публикуются в открытой сети.
Уязвимость в GnuPGP, названная SigSpoof или CVE-2018-12020, по утверждению открывшего её Маркуса Бринкманна (Marcus Brinkmann) «глубоко укоренилась в нашей базовой инфраструктуре и может влиять на её большую часть». Конфиденциальные сообщения e-mail, на которые десятилетиями полагались многие люди, занятые в критических для экономики и безопасности отраслях, как оказалось, могли быть подделкой.
Проблемы не ограничиваются электронной почтой, под вопросом оказалась аутентичность большинства прошлых обновлений ПО, резервных копий и исходного кода в системах версионного контроля, таких как Git.
Баг CVE-2018-12020 делает возможной подделку, только если в установках уязвимого ПО задан многословный режим (verbose), используемый в отладочных целях. По умолчанию он отключен, однако в ряде рекомендуемых конфигураций, доступных онлайн, (например, cooperpair safe defaults, Ultimate GPG и Ben’s IT-Kommentare) этот режим активирован. Для этого, последнего случая, в сообщении Бринкманна описываются три концептуальных варианта спуфинговых атак, которые работают для GnuPG, Enigmail, GPGTools, python-gnupg, и, возможно, для многих других инструментов безопасности.
Всё упомянутые утилиты уже получили патч, закрывающий самую критическую уязвимость, а для Enigmail и Simple Password Store также подготовлены исправления двух связанных спуфинговых ошибок CVE-2018-12019 и CVE-2018-12356.
Бринкманн сообщил, что проблема прослеживается до версии GnuPG 0.2.2, датируемой 1998 годом.
Информация об этих трёх багах, выложенная Бринкманном в прошлую среду (после выхода патчей), углубляет кризис доверия к технологиям защиты конфиденциальности электронной переписки. Месяц назад исследователи обнародовали другой пакет уязвимостей (Efail), позволявших хакерам читать сообщения e-mail, зашифрованные с помощью PGP или S/MIME.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
+22 голоса |