GnuPG erkennt ungültige Signaturen nicht immer
Der Fehler kann insbesondere bei Anwendungen auftreten, die Signaturen ohne Nutzerinteraktion automatisch prüfen, etwa Skripte und Mailclients. In der Folge wird die Manipulation einer signierten Mail oder Datei nicht erkannt.
Die Free Software Foundation hat auf der GnuPG-Mailing-Liste eine Meldung veröffentlicht, die auf eine Schwachstelle in der freien PGP-Implementierung GnuPG hinweist. Derzufolge kann eine ungültige Signatur unter Umständen fälschlicherweise doch als gültig durchrutschen. Der Fehler kann insbesondere bei Anwendungen auftreten, die Signaturen ohne Nutzerinteraktion automatisch prüfen, etwa Skripte und Mailclients. In der Folge wird die Manipulation einer signierten Mail oder Datei nicht erkannt.
Das Problem tritt nach Angaben der Entwickler aber nur dann auf, wenn sich ein Programm allein auf den Rückgabewert des Tools gpgv zur Prüfung von Signaturen verlässt. Es tritt allerdings auch bei Verwendung des Befehls gpg --verify auf. Zusammen mit der Option --status-fd liefert gpgv aber weitere Information über den Status einer digitalen Unterschrift, die die Applikation aber zusätzlich auswerten muss, um seine Ungültigkeit zu erkennen. Anwendungen, die die GPGME-Bibliothek verwenden, sind ebensowenig betroffen, wie Anwender, die Signaturen manuell prüfen.
In der Version 1.4.2.1 ist der Fehler behoben. Die Entwickler raten, sobald wie möglich auf die neue Version zu wechseln.
Siehe dazu auch: (dab)
- False positive signature verification in GnuPG, Ankündigung auf der GPG-Mailing-Liste
