Schwachstelle in OpenPGP
Durch einen Fehler im OpenPGP-Protokoll lassen sich bei Systemen, die automatisch entschlĂĽsseln, Klartexte errechnen.
Serge Mister und Robert Zuccherato von Entrust haben eine Schwachstelle im offenen Krypto-Protokoll OpenPGP ausgemacht, über die sich bei Systemen, die automatisch entschlüsseln, Klartexte errechnen lassen. OpenPGP wird in den weit verbreiteten Kryptolösungen PGP und GnuPG verwendet.
Das Problem besteht in einer Art der CFB-Cipher, die OpenPGP zur Überprüfung des symmetrischen Schlüssels nutzt. Die in OpenPGP verwendete CFB-Cipher sucht über einen "Quick-Scan" in jedem zu entschlüsselnden Block nach zwei gleichbleibenden Bytes. Stimmen diese nicht überein, wirft OpenPGP entweder eine Fehlermeldung aus (beispielsweise GnuPG 1.2.4: "decryption failed: bad key") oder die Entschlüsselung des Pakets scheitert stillschweigend. Aber selbst dann können Angreifer über das Timing der Gegenstelle Rückschlüsse auf den Quick-Scan ziehen. Auf diese Weise können die Angreifer nach und nach jeweils 2-Byte-Stücke einer verschlüsselten Nachricht herausfinden. Mister und Zuccherato brauchten nach eigenen Angaben unter vier Stunden, um zwei Bytes eines beliebigen Blocks zu erraten, zwei weitere für die zwei Bytes eines jeden Folgeblocks.
Endanwender dürften von dem Problem allerdings kaum betroffen sein, denn der Angriff setzt voraus, dass quasi beliebig viele erfolglose Entschlüsselungsversuche vorgenommen werden. Gefährdet sind Systeme, die verschlüsselte Nachrichten automatisch entschlüsseln. Das eröffnet Angreifern die Möglichkeit, beliebig viele Fehlversuche zu starten und über die Rückmeldungen auf den Klartext zu schließen.
Als einfache Lösung schlagen Mister und Zuccherato vor, den Quick-Scan standardmäßig nicht durchzuführen, sondern stattdessen immer die gesamte Nachricht auf dem symmetrischen Schlüssel zu überprüfen -- was allerdings zu Lasten der Performance geht. Die PGP Corporation, GnuPG und Hush Communications reagieren entsprechend und deaktivieren den Quick-Scan -- für symmetrisch verschlüsselte Nachrichten (nur durch eine Passphrase und keinen Schlüssel geschützt) bleibt er allerdings aktiv. Zudem überlegen sich die Krypto-Dienstleister, das OpenPGP-Protokoll aufgrund der Schwachstelle zu überarbeiten.
Siehe dazu auch: (pab)
- An Attack on CFB Mode Encryption As Used By OpenPGP von Mister/Zuccherato (PDF)
- Advisory von der PGP Corporation
