Уязвимость в PGP Desktop 9: игнорируются флаги ключей RSA v4
Нашёл здесь.
Дата обнаружения
5 марта 2006 г.
Уязвимые версии.
Проверено на PGP Desktop 9.0.5 build 5050, PGP SDK 3.5.5.
Описание уязвимости.
PGP Desktop игнорирует флаги ключей RSA v4, поэтому PGP позволяет шифровать теми публичными ключами, у которых во флагах (свойствах) не разрешено шифрование, а разрешены, к примеру, только подписание и сертификация.
Вопроизведение уязвимости.
1. Генерируем RSA v4 sign only ключ в GnuPG:
2. Экспортируем этот ключ:
Вот он:
3. Проверяем его флаги (свойства) на www.pgpdump.net и убеждаемся, что этот ключ не может быть использован для шифрования:
GnuPG пишет о том же, но в другой форме.
4. Импортируем ключ в PGP Desktop.
5. Пытаемся им что-нибудь зашифровать, и это... получается:
PGPdump пишет, что использован именно этот sign only ключ — 0x98907F1B9A56082C.
Решение.
Скледить за флагами (свойствами) RSA v4 ключей при помощи сторонних средств: PGPdump, GnuPG, etc.
Уязвимость обнаружена:
J_lysdal
Оригинальное сообщение.
http://forums.pgpsupport.com/viewtopic.php?t=5593
На эту уязвимость стоит обращать внимание или это всё-таки маленькая недоделка?
комментариев: 11558 документов: 1036 редакций: 4118
Вообще, конечно, это уязвимость. Можно представить себе ограниченную среду, где пользователям разрешено подписывать сообщения, но не разрешено шифровать. С этой целью криптографический орган снабжает их ключами ЭЦП. Но с учётом такой недоработки ПО, злонамеренный пользователь может успешно шифровать и, к примеру, высылать за охраняемый периметр какую-то важную информацию. По этой же причине когда в прошлом году мы работали над системой электронного документооборота для одной компании, то в качестве криптографического движка был избран GnuPG.
комментариев: 225 документов: 8 редакций: 2
И её 2 года не могут исправить?? Или в PGP Corporation до сих пор о ней не знают, даже когда на их официальном форуме об этой «фиче» пишут?
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 225 документов: 8 редакций: 2
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 225 документов: 8 редакций: 2
Значит, пора написать об этой уязвимости на SecurityFocus, Secunia и т.д.