LINUX.ORG.RU

Официальное заявление разработчиков GnuPG и GPG4Win по поводу только что обнародованной уязвимости

 , , ,


4

5

(Это заявление касается лишь вопросов уязвимости OpenPGP, GnuPG и GPG4Win. Мы ничего не говорим здесь про S/MIME.)

Только что отдельные исследователи безопасности обнародовали статью, озаглавленную «Efail: Взлом шифрования S/MIME и OpenPGP с использованием приемов эксфильтрации». Фонд электронных рубежей (EFF) воспринял это настолько серьезно, что посоветовал незамедлительно удалить Enigmail [0][1].

Мы же по этому поводу сначала заявим три вещи, а затем и постараемся показать, почему мы правы:

  1. Статья озаглавлена неверно.
  2. Атака направлена на забагованные почтовые клиенты.
  3. Авторы составили список таковых клиентов.

В 1999 году мы осознали, что в симметричном шифровании OpenPGP (который представляет собою разновидность режима обратной связи по шифровке, сокр. CFB) имеется слабость: в ряде случаев злоумышленник может изменить текст. По словам основателя GnuPG Вернера Коха дело была так: «[Фил Циммерман] и Йон Каллас пригласили меня в Рим на конференцию по AES, чтобы обсудить проблемы со внедрением CFB. Это было в марте 1999-го, и спустя месяц и в PGP, и в GnuPG была воплощена первая версия [защитных мер]. Как напоминает нам файл NEWS, в тираж она вышла летом 2000-го».

Упомянутые Вернером меры называются «код обнаружения изменений» или сокращенно MDC. Они остаются базовой частью GnuPG вот уже на протяжении 18-и лет. Почти все это время любое письмо, к которому не прикреплен MDC, порождает при расшифровке крупное и заметное предупреждение, наподобие такого:

    gpg: encrypted with 256-bit ECDH key, ID 7F3B7ED4319BCCA8, created
2017-01-01
          "Werner Koch <wk at gnupg.org>"
    [GNUPG:] BEGIN_DECRYPTION
    [GNUPG:] DECRYPTION_INFO 0 7
    [GNUPG:] PLAINTEXT 62 1526109594
    [GNUPG:] PLAINTEXT_LENGTH 69
    There is more to life than increasing its speed.
                    -- Mahatma Gandhi
    gpg: WARNING: message was not integrity protected
    [GNUPG:] DECRYPTION_FAILED
    [GNUPG:] END_DECRYPTION

Точно так же GnuPG выдает предупреждение и в случае, если MDC указывает на то, что письмо было изменено. В обоих случаях, если ваш почтовый клиент принимает это предупреждение во внимание и поступает сообразно — а именно, не показывает вам письма — вы полностью защищены от атаки Efail, ибо она есть не более, чем очередной виток в эксплуатации уязвимости, с которой мы начали бороться еще 20 лет назад.

Если вас обеспокоила Efail, обновитесь до последней версии GnuPG и убедитесь, что ваше дополнение к почтовому клиенту понимает ошибки MDC. Большинство понимает их корректно.

Однако уязвимость все-таки может вас касаться, если вы пользуетесь древними версиями GnuPG (еще из 1.0-й серии, когда нынешняя — это 2.2-я), или же если ваш почтовый клиент неадекватно воспринимает полученные от GnuPG предупреждения. Проблема также могла затрагивать вас ранее, когда вы еще пользовались версиями GnuPG старше 2000 года или невосприимчивыми к предупреждениям почтовыми клиентами.

В начале этого заявления мы озвучили три пункта насчет атаки Efail. Теперь можно их несколько развернуть:

  1. Статья озаглавлена некорректно. Это не атака на OpenPGP. Это атака на почтовые клиенты, что не придают значения предупреждениям GnuPG и ведут себя глупо.
  2. Эта атака направлена на забагованные почтовые клиенты. Правильное применение MDC полностью исключает уязвимость. GnuPG поддерживает MDC еще с лета 2000 года.
  3. Авторы статьи составили список забагованных клиентов. Стоит пролистать этот список (в самом конце статьи), чтобы узнать, касается ли это вас. Однако не будьте слишком доверчивы, так, к примеру, разработчики Mailpile утверждают, что у них все в порядке, но в статье сказано, что какая-то уязвимость там есть.

Авторы сослужили людям добрую службу, систематизировав глючные почтовые клиенты. И мы благодарны им за это. В то же время, мы бы предпочли, чтобы дело было обставлено с меньшим ажиотажем. Куча людей оказалась напугана почем зря.

--
Вернер Кох, Андре Хайнеке, Роберт Хансен.

[0] https://www.eff.org/deeplinks/2018/05/attention-pgp-users-new-vulnerabilities...
[1] https://www.eff.org/deeplinks/2018/05/disabling-pgp-thunderbird-enigmail

>>> gnupg-users@gnupg.org

★★★★★

Проверено: jollheef ()
Ответ на: комментарий от gag

восьмёрка учёных просто раскопала давным-давно исправленную уязвимость

Звучит намного честнее и без лишнего пафоса, предлагаю переименовать прошлую новость :D

loz ★★★★★ ()
Ответ на: комментарий от gag

Т.е. восьмёрка учёных просто раскопала давным-давно исправленную уязвимость...

Они, честно говоря, раскопали давно известную, но не исправленную, уязвимость *в S/MIME*, но почему-то вместо того, чтобы написать в очередной раз ту общеизвестную истину что S/MIME sucks, и надо использовать GPG (и нормальные свежие и свободные почтовые клиенты, а не Микрософт Аутлук-2007!), начали раздумать ажиотаж в «Твиттере» на руку всяким «Сигналам» и «Медузам».

да ещё нужен HTML, чтобы ей воспользоваться?

Ну, HTML — это не редкость. Его почти все клиенты умеют.

Zmicier ★★★★★ ()
Последнее исправление: Zmicier (всего исправлений: 1)
Ответ на: комментарий от Zmicier

P. S. И нет, «белок» в письме, разумеется, не было, это я не удержался, прошу пардонить.

Удалять было нельзя, так как слишком в тему, но заменил тем, что подходит к тематике.

jollheef ★★★★★ ()
Последнее исправление: jollheef (всего исправлений: 1)
Ответ на: комментарий от jollheef

Удалять было нельзя, так как слишком в тему

А я как раз прибежал истерить, чтобы не удаляли.

но заменил тем, что подходит к тематике.

Так даже лучше, но уже не так смешно.

r3lgar ★★★★★ ()
Ответ на: комментарий от ptah_alexs

Да, если речь про S/MIME.

А поддержки GPG в Thunderbird’е до сих пор просто нет как таковой, надо ставить дополнение — Enigmail. Как минимум, актуальная его версия (вторая) не должна быть.

Zmicier ★★★★★ ()
Последнее исправление: Zmicier (всего исправлений: 1)
Ответ на: комментарий от ptah_alexs

Только если у тебя древний Enigmail, устаревший Thunderbird, тебе присылают письма в формате S/MIME и у тебя включено автоскачивание внешнего содержимого в HTML.

Тогда твой email-провайдер, от которого тебя должен защищать GPG, может подменить твои входящие так, что клиент это пропустит, и прочитать всё твоё письмо в plaintext (а значит, и получить информацию для расшифровывания секретного ключа).

Mutt безопасен, KMail вроде исправили, в Claws-mail поддержка S/MIME включается только вручную через extra-плагин, в K-9 Mail вообще поддержки нет. Пользователям Evolution и Trojita можно начинать волноваться.

Oreolek ()
Ответ на: комментарий от Oreolek

Пользователям Evolution и Trojita можно начинать волноваться.

Пардон, за что? Опять же, если только за X.509-сертификаты (которые для S/MIME)? А им многие всерьез пользуются? Да еще и лично, так что это им волноваться, а не администратору?

Zmicier ★★★★★ ()

Безопасность превратилась в какую-то клоунаду с этой шумихой вокруг каждой уязвимости, индивидуальными именами, сайтами, драмой про эмбарго...

Касательно почты, я считаю надо забыть про её шифрование - уж очень велик там груз легаси и слишком по-ублюдски всё сделано, чтобы надёжно работать. Ошибку gpg определяют парсингом его выхлопа, обмен ключами неработоспособен, текстовые форматы с base64, зоопарк заголовков, дырявые MTA...

slovazap ★★★★★ ()
Последнее исправление: slovazap (всего исправлений: 1)
Ответ на: комментарий от slovazap

Ошибку gpg определяют парсингом его выхлопа

можно на код возврата еще смотреть

обмен ключами неработоспособен

обмен ключами почты на самом деле сильно не касается. тебе в любом случае нужно верифицировать ключ адресата по другому каналу. или доверять третьим лицам.

текстовые форматы с base64

а PEM видел?

зоопарк заголовков

да и черт с ним, шифрование не в заголовках-то

дырявые MTA

ну блин, так еще можно криворуких админов обвинять в том что почта плохая. ясное дело что дыры будут находиться за годы использования, другое дело сколько их найдено в, не знаю там, xmpp- или matrix-серверах

last_man_standing ()
Ответ на: комментарий от slovazap

Безопасность превратилась в какую-то клоунаду с этой шумихой вокруг каждой
уязвимости, индивидуальными именами, сайтами, драмой про эмбарго...

Лучше так, чем никак.

Касательно почты, я считаю надо забыть про её шифрование

Ага! Всем в «Телеграмм»!

уж очень велик там груз легаси и слишком по-ублюдски всё сделано,
чтобы надёжно работать
Ошибку gpg определяют парсингом его выхлопа

Ой-ой? А вам надо, конечно, что бы они с юзерагентом были воедино скомпонованы и через общую память обменивались? Так чтобы если что, то уж наверняка насквозь?

обмен ключами неработоспособен

УМВР, ЧЯДНТ?

текстовые форматы с base64

Даешь двоичные?

зоопарк заголовков

From и To хватит всем!

дырявые MTA...

Все в «Телеграмм»! Там нет никаких MTA. (Ну то есть есть, конечно, но когда все они в одних руках, то априори не может быть никаких дыр.)

Zmicier ★★★★★ ()
Ответ на: комментарий от Zmicier

Товарищи безопасники не осилили

Я как бы не знаю, но по-моему, по логике вещей, у каждого уважающего себя ИБ-шника должен быть свой инструментарий и подходы к обеспечению конкретной зоны ответственности.

Есть общие моменты, которым их научают в ихних бурситетах, а есть свои собственные, наработанные «потом и кровью».

Видимо, крови пролито ещё недостаточно =))

rht ★★★★★ ()

Я одно не понимаю: у кого-то ещё не отключены картинки и прочее в html в письмах? Это же настройка по умолчанию должна быть, даже без шифрования! Базовая гигиена, чтобы как минимум спамеры не могли знать какие из их писем пользователи открывают.

legolegs ★★★★★ ()
Ответ на: комментарий от Zmicier

Лучше так, чем никак.

Если ты в больницу с переломом придёшь, а вокруг тебя шаманы спляшут, прилепят травку смоченную слюной и отправят восвояси - это тоже лучше чем никак?

Ага! Всем в «Телеграмм»!

С точки зрения протокола именно так - протоколов без обязательного как E2E, так и транспортного шифрования в современных реалиях существовать не должно. Этим условиям отвечают, хотя бы на словах, все современные проприетарные мессенджеры. Легаси в виде почты, жаббера и irc уже не спасти, а новое поколение signal/matrix/tox пока что-то не взлетело. Пока альтернатив Telegram для IM я не вижу, но у IM формата свои проблемы, а замены почты пока нет вовсе никакой.

Ой-ой? А вам надо, конечно, что бы они с юзерагентом были воедино скомпонованы и через общую память обменивались? Так чтобы если что, то уж наверняка насквозь?

Любой детерминированный формат, хоть текстовый хоть бинарный. А не опциональный парсинг строчки из выхлопа.

УМВР, ЧЯДНТ?

Что, по key signing party ходите? И много наподписали? Или с кейсерверов получаете ключи, которые туда может залить кто угодно?

Даешь двоичные?

Конечно. Без раздувания данных в полтора раза, нечитаемых заэскейпленных строк которые в зависимости от кодировки и желания левой пятки могут эскейпиться, а могут нет, разделения частей данных случайными строчками, мегабайтов кода для парсинга этого говна, и как итога описанных уязвимостей. HTTP2 после HTTP как глоток свежего воздуха.

slovazap ★★★★★ ()

Фонд электронных рубежей (EFF) воспринял это настолько серьезно, что посоветовал незамедлительно удалить Enigmail

А им кто-то пользуется? Нормальные люди для шифрованной (и не только) почты пользуются Mutt.

anonymous ()
Ответ на: комментарий от slovazap

если что в телеге обязательногр е2е нет. а с секретными чатами та же история что и с ключами в пгп - их надо подтвердить по-другому каналу.

у телеги ровно один плюс но очень сильный - удобные дефолтные клиенты.

про искейпинг, бинарные форматы и прочее - посмотри на PEM и посмотрина ASN.1

и поищи сколько ошибок было в парсерах для одного и для второго.

last_man_standing ()

Однако уязвимость все-таки может вас касаться, если вы пользуетесь древними версиями GnuPG (еще из 1.0-й серии, когда нынешняя — это 2.2-я)
GnuPG поддерживает MDC еще с лета 2000 года.

Это не новость, это старость... Пользователям некрософта привет.

NextGenenration ★★ ()

Куча людей оказалась напугана почем зря.

Как раз стоит обратить внимание как можно большей кучи людей, что данная уязвимость зависит не только от тебя, но и твоих собеседников. Если один из оппонентов в переписке подвергся атаке, все твои реплаи (цитаты) ему в этом сообщении будут доступны злоумышленникам. Особенно это влияет на шифрованные мейл-листы.

Как говорится, найдется один лох, кто использует именно дырявый Enigmail c TB. Это довольно неприятно, т.к. много популярных клиентов затронуто, и теперь возникает вопрос к собеседнику, а вкурсе ли он про efail и предпринял ли меры борьбы.

PtiCa ★★★★★ ()
Последнее исправление: PtiCa (всего исправлений: 2)
Ответ на: комментарий от PtiCa

PtiCa wrote:

Как раз стоит обратить внимание как можно большей кучи людей, что данная
уязвимость зависит не только от тебя, но и твоих собеседников. Если один из
оппонентов в переписке подвергся атаке, все твои реплаи (цитаты) ему в этом
сообщении будут доступны злоумышленникам.

Но ведь это никак не особенность данной уязвимости, это особенность любой проблемы с каналом связи.

Как говорится, найдется один лох, кто использует именно дырявый Enigmail c
TB.

Ну и что? Это же совершенно недостаточно для утечки.

Скорее уж найдется лох, который пароль на монитор приклеил. :-)

Это довольно неприятно, т.к. много популярных клиентов затронуто

Популярных где? Много ли среди ваших адресатов за последний год пользователей 2007-го Аутлука?

и теперь возникает вопрос к собеседнику, а вкурсе ли он про efail
и предпринял ли меры борьбы.

У вас не возникает, например, вопроса, зашифрован ли у него вообще тайный ключ, который он носит с собой на ноутбуке или карманном ПК?

Zmicier ★★★★★ ()
Ответ на: комментарий от Zmicier

Но ведь это никак не особенность данной уязвимости, это особенность любой проблемы с каналом связи.

да, просто я неискушен в защищенной переписке. Действительно, это общая проблема.

У вас не возникает, например, вопроса, зашифрован ли у него вообще тайный ключ, который он носит с собой на ноутбуке или карманном ПК?

Возникает. Но чем больше вопросов к оппоненту, тем сложнее система, тем выше вероятность ошибки. Вопрос о сохранности закрытого ключа - закономерный. Вопрос о _версии_ ПО, используемого для безопасной связи, и тем более, о версии плагина - привносит дополнительную сложность.

Популярных где?

про аутлук не знаю. Мне кажется, наиболее популярны TB c Enigmail, среди пользующихся защищенным каналом по почте. По крайней мере, я смотрел на них когда-то, сейчас не использую gpg за ненадобностью.

PtiCa ★★★★★ ()
Ответ на: комментарий от Zmicier

Но ведь это никак не особенность данной уязвимости, это особенность любой проблемы с каналом связи.

кстати, если быть точным, то возможны вариации. В некоторых системах и способах есть фундаментальные ограничения, позволяющие минимизировать утечку в случае взлома единичного сообщения. Например, чисто односторонние каналы связи (тогда взлом не приведет к раскрытию сообщения от других). Или, чисто последовательные\потоковые (тогда в раскрытом сообщении не будет информации о предыдущих).

Понятно, что можно много чего поместить в одно соощение, напр., ради смеха всегда подписываться данными своей кредитки, (это к вопросу о цитатах). Но некоторые каналы способствуют этому, а некоторые нет. (ср.: аудио канал общения, и канал обмены почтой)

PtiCa ★★★★★ ()