In den PGP-Versionen 5 bis 7 wurde eine Schwachstelle bei der Verarbeitung und Präsentation von Benutzerkennungen (user IDs) entdeckt, die es einem Angreifer ermöglichen, beliebige User IDs auf einem bereits zertifizierten Schlüssel als signiert auszugeben.

Betroffene Systeme
Es sind Systeme betroffen, die folgende Produkte verwenden:

• PGP 5 und PGP 6
• PGP Corporate Desktop v7.1 (MacOS9/Win32)
• PGP Personal Security v7.0.3 (MacOS9/Win32)
• PGP Freeware v7.0.3 (MacOS9/Win32)
• PGP E-Business Server v7.1 (Linux/Solaris/AIX/HPUX/Win32)
• Produkte von anderen Herstellern, die das PGP-SDK verwenden.

Einfallstor
Import eines Schlüssels, der eine von einem (für das Opfer) vertrauenswürdigen Schlüssel zertifizierte User-ID aufweist, oder eines Schlüssels, bei dem dieses Zertifikat bereits im Schlüsselring des Opfers vorhanden ist.

Auswirkung
Die Angabe der User-ID durch PGP ist nicht mehr kryptographisch abgesichert und daher leicht fälschbar.

Typ der Verwundbarkeit
user interface design flaw

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Im neuen V4-Signaturformat, welches mit OpenPGP (RFC 2440) eingeführt wurde, gibt es eine Möglichkeit, User-IDs per Selbstzertifikat als Haupt-User-ID zu markieren. Die verwundbaren PGP-Versionen nehmen selbst dann eine derartig markierte User-ID als Haupt-User-ID, wenn diese nicht von einem vertrauenswürdigen Schlüssel zertifiziert wurde. Da die Haupt-User-ID in den meisten Bildschirmmeldungen verwendet wird, führt das dazu, daß sich ein Angreifer mit seinem Schlüssel als jemand anderes ausgeben kann.

Gegenmaßnahmen

• Installation des Updates, welches Network Associates zur Verfügung stellt.

Weitere Informationen zu diesem Thema

• Sieuwert van Otterho, A security analysis of Pretty Good Privacy

Weitere Artikel zu diesem Thema:

• [Generic/OpenPGP] Schwächen in der Anzeige von User-IDs II (2001-09-04)
  Im Zusammenhang mit einer Schwachstelle in NAI PGP wurden ähnliche Probleme in den 2er-Versionen von PGP sowie in GNU Privacy Guard entdeckt.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/