Уязвимость в PGP Desktop 9: игнорируются флаги ключей RSA v4


Нашёл здесь[link1].



Дата обнаружения
5 марта 2006 г.

Уязвимые версии.
Проверено на PGP Desktop 9.0.5 build 5050, PGP SDK 3.5.5.

Описание уязвимости.
PGP Desktop игнорирует флаги ключей RSA v4, поэтому PGP позволяет шифровать теми публичными ключами, у которых во флагах (свойствах) не разрешено шифрование, а разрешены, к примеру, только подписание и сертификация.

Вопроизведение уязвимости.
1. Генерируем RSA v4 sign only ключ в GnuPG[link2]:

2. Экспортируем этот ключ:

Вот он:

3. Проверяем его флаги (свойства) на www.pgpdump.net[link3] и убеждаемся, что этот ключ не может быть использован для шифрования:

GnuPG[link2] пишет о том же, но в другой форме.
4. Импортируем ключ в PGP Desktop.
5. Пытаемся им что-нибудь зашифровать, и это... получается:

PGPdump[link4] пишет, что использован именно этот sign only ключ — 0x98907F1B9A56082C.

Решение.
Скледить за флагами (свойствами) RSA v4 ключей при помощи сторонних средств: PGPdump[link4], GnuPG[link2], etc.

Уязвимость обнаружена:
J_lysdal[link5]

Оригинальное сообщение.
http://forums.pgpsupport.com/viewtopic.php?t=5593



На эту уязвимость стоит обращать внимание или это всё-таки маленькая недоделка?


Комментарии
— SATtva (05/04/2006 16:38)   
Скорее это следствие неполного соответствия PGP стандарту OpenPGP. Около двух лет назад я обратил внимание на эту "особенность" программы: можно создать ключ RSA v4, удалить шифровальный подключ, но при этом благополучно продолжать шифровать данные главным ключом подписания. Но большого значения этой "фиче" никогда не придавал.

Вообще, конечно, это уязвимость. Можно представить себе ограниченную среду, где пользователям разрешено подписывать сообщения, но не разрешено шифровать. С этой целью криптографический орган снабжает их ключами ЭЦП. Но с учётом такой недоработки ПО, злонамеренный пользователь может успешно шифровать и, к примеру, высылать за охраняемый периметр какую-то важную информацию. По этой же причине когда в прошлом году мы работали над системой электронного документооборота для одной компании, то в качестве криптографического движка был избран GnuPG.
— Lustermaf (07/04/2006 01:49)   
SATtva:
Вообще, конечно, это уязвимость.

И её 2 года не могут исправить?? Или в PGP Corporation до сих пор о ней не знают, даже когда на их официальном форуме[link6] об этой «фиче» пишут[link1]?
— SATtva (07/04/2006 11:12)   
Наверное, тоже не считают заслуживающей внимания.
— Lustermaf (07/04/2006 12:01)   
Вот эта уязвимость[link7] тоже ерундовая, однако разработчики GnuPG её исправили, да ещё подробно расписали что к чему.
— SATtva (07/04/2006 12:11)   
Самое время начать очередной рант о преимуществах открытой разработки против коммерческой. :) Тоже, правда, исключения[link8] есть.
— Lustermaf (09/04/2006 17:49)   
SATtva:
Наверное, тоже не считают заслуживающей внимания.

Значит, пора написать об этой уязвимости на SecurityFocus, Secunia и т.д.

Ссылки
[link1] http://forums.pgpsupport.com/viewtopic.php?t=5593

[link2] http://www.gnupg.org/

[link3] http://www.pgpdump.net

[link4] http://www.pgpdump.net/

[link5] http://forums.pgpsupport.com/profile.php?mode=viewprofile&u=5799

[link6] http://forums.pgpsupport.com/

[link7] http://www.pgpru.com/forum/viewtopic.php?t=1744

[link8] http://www.pgpru.com/forum/viewtopic.php?t=1836