Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1168

[Generic/GnuPG] ElGamal Signing Keys von GnuPG sind kompromittierbar
(2003-11-28 15:55:15.888034+00)

Quelle: http://lists.gnupg.org/pipermail/gnupg-announce/2003q4/000276.html

Eine Änderung in GnuPGs Implementierung der Schlüsselerzeugung von ElGamal-Schlüsseln, die im Jahr 2000 zur Effizienzsteigerung beim Verschlüsseln vorgenommen wurde, führt zur Kompromittierbarkeit von ElGamal-Signaturschlüsseln. Eigentümer solcher Signaturschlüssel sollten diese zurückziehen.

Betroffene Systeme

Nicht betroffene Systeme

Einfallstor
ElGamal-Signatur

Auswirkung
Kompromittierung des ElGamal-Schlüssels.
Bei Typ-20-Schlüsseln (ElGamal zum Verschlüsseln und Signieren), bedeutet dies, daß ein Angreifer in der Lage ist, verschlüsselte Nachrichten zu lesen sowie Signaturen im Namen des Eigentümers zu erzeugen.

Angriffsvoraussetzung
Zugriff auf eine signierte Nachricht

Typ der Verwundbarkeit
design flaw

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
ElGamal ist ein Public-Key-Verfahren, das sowohl zur Verschlüsselung als auch zur Signierung von Nachrichten eingesetzt werden kann. Es basiert auf der Bestimmung diskreter Logarithmen.

GnuPG erlaubt aus historischen Gründen die Erzeugung von ElGamal-Signaturschlüsseln. ElGamal-Signaturen sind relativ ineffizient in der Verarbeitung und es existieren verschiedene kryptographische Schwächen. Daher ist die Erzeugung von ElGamal-Signaturschlüsseln nur im Expertenmodus möglich und sollte generell unterbleiben.

Beschreibung
Im Jahr 2000 wurde eine Änderung in der Implementierung der Schlüsselerzeugung von El-Gamal-Schlüsseln in GnuPG vorgenommen, um die Effizienz beim Verschlüsseln zu steigern. Diese Änderung wirkte sich irrtümlich auch auf die Erzeugung von ElGamal-Signaturschlüsseln aus, was dazu führte, daß diese Schlüssel leicht kompromittiert werden können.

Dieser Umstand versetzt Angreifer in die Lage, innerhalb kürzester Zeit über die Kryptanalyse einer Signatur den privaten Teil eines El-Gamal-Schlüssels zu ermitteln. Der Angreifer ist dann in der Lage, Signaturen im Namen des Schlüsselbesitzers auszustellen und, sofern der Schlüssel auch zur Verschlüsselung eingesetzt wird, verschlüsselte Nachrichten an den Eigentümer zu lesen.

Hinweis: ElGamal-Signaturschlüssel lassen sich nur im Expertenmodus erzeugen:

    $ gpg --gen-key --expert
erzeugen. Ein versehentliches Erzeugen eines verwundbaren Schlüssels ist also eher unwahrscheinlich.

Feststellen der Verwundbarkeit
Um festzustellen, ob ein verwundbarer Schlüssel im eigenen Schlüsselring vorhanden ist, muß nach Schlüsseln der folgenden Form gesucht werden:

Verwundbare Schlüsseltypen:

Nicht verwundbarer Schlüsseltyp :

Gegenmaßnahmen

  1. Rückruf (Revocation) betroffener Schlüssel.
    Werner Koch, Entwickler von GnuPG, hat die Besitzer von auf PGP-Keyservers veröffentlichten verwundbaren Schlüsseln ermittelt und einzeln angeschrieben.
  2. ggf. Publizierung des Schlüsselrückzugzertifikates auf den diversen Keyservers.
  3. Installation eines Patches, der die Erzeugung von ElGamal-Signaturschlüsseln abschaltet.
  4. Erzeugung eines neuen Schlüsselpaares.
  5. ggf. Publizierung der neuen Schlüssel auf den diversen Keyservers.

Vulnerability ID

Weitere Information zu diesem Thema

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1168