Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-459

[NAI/PGP] Schwächen in der Anzeige von User-IDs I
(2001-09-04 13:46:47+00)

Quelle: http://www.bluering.nl/pgp/useridbug.txt

In den PGP-Versionen 5 bis 7 wurde eine Schwachstelle bei der Verarbeitung und Präsentation von Benutzerkennungen (user IDs) entdeckt, die es einem Angreifer ermöglichen, beliebige User IDs auf einem bereits zertifizierten Schlüssel als signiert auszugeben.

Betroffene Systeme
Es sind Systeme betroffen, die folgende Produkte verwenden:

Einfallstor
Import eines Schlüssels, der eine von einem (für das Opfer) vertrauenswürdigen Schlüssel zertifizierte User-ID aufweist, oder eines Schlüssels, bei dem dieses Zertifikat bereits im Schlüsselring des Opfers vorhanden ist.

Auswirkung
Die Angabe der User-ID durch PGP ist nicht mehr kryptographisch abgesichert und daher leicht fälschbar.

Typ der Verwundbarkeit
user interface design flaw

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Im neuen V4-Signaturformat, welches mit OpenPGP (RFC 2440) eingeführt wurde, gibt es eine Möglichkeit, User-IDs per Selbstzertifikat als Haupt-User-ID zu markieren. Die verwundbaren PGP-Versionen nehmen selbst dann eine derartig markierte User-ID als Haupt-User-ID, wenn diese nicht von einem vertrauenswürdigen Schlüssel zertifiziert wurde. Da die Haupt-User-ID in den meisten Bildschirmmeldungen verwendet wird, führt das dazu, daß sich ein Angreifer mit seinem Schlüssel als jemand anderes ausgeben kann.

Gegenmaßnahmen

Die PGP-Versionen 5 und 6 werden nicht mehr gepflegt; sie weisen teilweise ernsthafte Probleme auf. Von ihrem Einsatz ist generell abzuraten.

Weitere Informationen zu diesem Thema

(fw)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=459