Eine Änderung in GnuPGs Implementierung der Schlüsselerzeugung von ElGamal-Schlüsseln, die im Jahr 2000 zur Effizienzsteigerung beim Verschlüsseln vorgenommen wurde, führt zur Kompromittierbarkeit von ElGamal-Signaturschlüsseln. Eigentümer solcher Signaturschlüssel sollten diese zurückziehen.

Betroffene Systeme

• ElGamal-Signaturschlüssel, die mit GnuPG 1.0.2 und späteren Versionen erzeugt wurden

Nicht betroffene Systeme

• Schlüsselkombinationen, die zur Signierung keine ElGamal-Schlüssel verwenden.
• ElGamal-Signaturschlüssel, die mit GnuPG vor Version 1.0.2 erzeugt wurden (Hier ist anzumerken, daß ElGamal-Signaturen generell nicht unproblematisch sind.)

Einfallstor
ElGamal-Signatur

Auswirkung
Kompromittierung des ElGamal-Schlüssels.
Bei Typ-20-Schlüsseln (ElGamal zum Verschlüsseln und Signieren), bedeutet dies, daß ein Angreifer in der Lage ist, verschlüsselte Nachrichten zu lesen sowie Signaturen im Namen des Eigentümers zu erzeugen.

Angriffsvoraussetzung
Zugriff auf eine signierte Nachricht

Typ der Verwundbarkeit
design flaw

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
ElGamal ist ein Public-Key-Verfahren, das sowohl zur Verschlüsselung als auch zur Signierung von Nachrichten eingesetzt werden kann. Es basiert auf der Bestimmung diskreter Logarithmen.

GnuPG erlaubt aus historischen Gründen die Erzeugung von ElGamal-Signaturschlüsseln. ElGamal-Signaturen sind relativ ineffizient in der Verarbeitung und es existieren verschiedene kryptographische Schwächen. Daher ist die Erzeugung von ElGamal-Signaturschlüsseln nur im Expertenmodus möglich und sollte generell unterbleiben.

Beschreibung
Im Jahr 2000 wurde eine Änderung in der Implementierung der Schlüsselerzeugung von El-Gamal-Schlüsseln in GnuPG vorgenommen, um die Effizienz beim Verschlüsseln zu steigern. Diese Änderung wirkte sich irrtümlich auch auf die Erzeugung von ElGamal-Signaturschlüsseln aus, was dazu führte, daß diese Schlüssel leicht kompromittiert werden können.

Dieser Umstand versetzt Angreifer in die Lage, innerhalb kürzester Zeit über die Kryptanalyse einer Signatur den privaten Teil eines El-Gamal-Schlüssels zu ermitteln. Der Angreifer ist dann in der Lage, Signaturen im Namen des Schlüsselbesitzers auszustellen und, sofern der Schlüssel auch zur Verschlüsselung eingesetzt wird, verschlüsselte Nachrichten an den Eigentümer zu lesen.

Hinweis: ElGamal-Signaturschlüssel lassen sich nur im Expertenmodus erzeugen:

    $ gpg --gen-key --expert

Feststellen der Verwundbarkeit
Um festzustellen, ob ein verwundbarer Schlüssel im eigenen Schlüsselring vorhanden ist, muß nach Schlüsseln der folgenden Form gesucht werden:

Verwundbare Schlüsseltypen:

• Typ 20: ElGamal-Signatur- und Verschlüsselungsschlüssel

      pub  XXXXG/XXXXXXXX YYYY-MM-DD Name 
  

  Beispielsweise:

      pub  2048G/F05C0992 2003-11-27 Test User 
  

  Die Zeichenfolge 'pub' und das große 'G' nach der Angabe der Schlüssellänge zeigt an, daß es sich hierbei um einen Typ-20-ElGamal-Signatur- und Verschlüsselungsschlüssel handelt.
• Typ 20: ElGamal-Signatur- und Verschlüsselungsunterschlüssel

      sub  XXXXG/XXXXXXXX YYYY-MM-DD Name 
  

  Beispielsweise:

      sub  2048G/A1756FDF 2003-11-27 Test User 
  

  Die Zeichenfolge 'sub' und das große 'G' nach der Angabe der Schlüssellänge zeigt an, daß es sich hierbei um einen Typ-20-ElGamal-Signatur- und Verschlüsselungsunterschlüssel handelt.

Nicht verwundbarer Schlüsseltyp :

• Typ 16: ElGamal-Signaturunterschlüssel

      sub  XXXXg/XXXXXXXX YYYY-MM-DD Name 
  

  Beispielsweise:

      sub  2048g/B286EBA7 2003-11-27 Test User 
  

  Die Zeichenfolge 'sub' und das kleine 'g' nach der Angabe der Schlüssellänge zeigt an, daß es sich hierbei um einen Typ-16-ElGamal-Verschlüsselungsunterschlüssel handelt.

Gegenmaßnahmen

1. Rückruf (Revocation) betroffener Schlüssel.
   Werner Koch, Entwickler von GnuPG, hat die Besitzer von auf PGP-Keyservers veröffentlichten verwundbaren Schlüsseln ermittelt und einzeln angeschrieben.
   
2. ggf. Publizierung des Schlüsselrückzugzertifikates auf den diversen Keyservers.
3. Installation eines Patches, der die Erzeugung von ElGamal-Signaturschlüsseln abschaltet.
4. Erzeugung eines neuen Schlüsselpaares.
5. ggf. Publizierung der neuen Schlüssel auf den diversen Keyservers.

Vulnerability ID

• Derzeit ist keine ID reserviert.

Weitere Information zu diesem Thema

• Asymmetrische Verfahren: ElGamal
• GnuPG-Homepage

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/