Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-48

[GnuPG] Umgehung des Web of Trust möglich
(2000-12-11 12:51:59+00)


Durch eine Schwachstelle beim Import von Schlüsseln kann ein Angreifer einen Schlüssel einschleusen, der von GnuPG als absolut vertrauenswürdig erachtet wird.

Beim Import von öffentlichen Schlüsseln (sei es aus einer Datei oder von einem Keyserver) fügt GnuPG geheime Schlüssel automatisch dem geheimen Schlüsselbund hinzu. Ein Angreifer kann deswegen ohne Benutzerinteraktion einen sogenannten ultimately trusted key zum öffentlichen Schlüsselbund des Opfers hinzufügen (falls er zum Beispiel Kontrolle über den verwendeten Keyserver oder die Verbindung dorthin erlangt). Diese Schwachstelle kann beispielsweise verwendet werden, um dem Opfer vorzugaukeln, ein Dokument sei mit einem bereits bekannten Schlüssel mit entsprechender Benutzerkennung signiert.

Gefahrenpotential
Mittel bis hoch (insbesondere im Falle von automatisierter Verarbeitung signierter Nachrichten mit geeigneten Konsequenzen bei Kompromittierung des web of trust).

Gegenmaßnahmen
Ein Update auf GNU Privacy Guard 1.05, sobald diese Version erschienen ist. Es kann auch der Patch aus dem CVS eingespielt werden.

(fw)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=48