[GNU/GnuPG] Lokale Signaturen können exportiert werden
(2001-08-01 15:35:04+00)
Quelle:
http://lists.gnupg.org/pipermail/gnupg-devel/2001-July/006191.html
Ein Fehler in der Signaturerstellung führt bei GnuPG unter Umständen dazu, daß Signaturen, die z.B. privat für Testzwecke erstellt wurden, an andere Personen oder Keyserver weitergegeben werden.
Betroffene Systeme
- Alle Systeme, auf denen GnuPG (in Versionen bis 1.0.6 einschließlich) zur Signaturerstellung eingesetzt wird.
Einfallstor
Verteilung von vermeintlich lokal signiertem Schlüsselmaterial.
Auswirkung
Kompromittierung des Vertrauensnetzes (web of trust).
Typ der Verwundbarkeit
design flaw
Gefahrenpotential
hoch (Der Fehler kann dazu führen, daß die Glaubwürdigkeit als Zertifikatgeber erschüttert wird.)
(Hinweise zur Einstufung des Gefahrenpotentials.)
Beschreibung
Bei GnuPG existiert die Option, bei der Erstellung eines Zertifikates (also einer digitalen Signatur auf einem anderen öffentlichen Schlüssel) eine Option zu setzen, die verhindert, daß das Zertifikat öffentlich verfügbar gemacht wird, sei es durch die Export-Funktion oder die Übertragung des Schlüssels zu einem öffentlichen Schlüssel-Server.
Thomas Roessler stellte kürzlich fest, daß GnuPG bei der Verwendung von V3-Schlüsseln (z.B. solchen, die aus alten PGP-Versionen importiert wurden) V3-Signaturen erstellt werden, die natürlich die Markierung, daß das Zertifikat nicht exportiert werden darf, nicht enthalten kann. Dadurch kann es dazu kommen, daß lokale Zertifikate im Widerspruch zum ausdrücklichen Wunsch des Benutzers veröffentlicht werden. Dies kann sehr peinlich sein und den Ruf des Benutzers als Zertifikatgeber beeinträchtigen.
Gegenmaßnahmen
- Verwendung eines separaten Schlüssels für lokale Zertifikate.
- Ein Patch gegen dieses Problem ist inzwischen im GnuPG-CVS verfügbar.
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=437