neprihlásený Piatok, 21. septembra 2018, dnes má meniny Matúš   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
Detaily problémov so šifrovanými PGP a S/MIME emailami, ako ich bezpečne používať

Tím bezpečnostných expertov, ktorý v pondelok spolu s EFF varoval pred bezpečnostnými zraniteľnosťami s dopadom na používanie šifrovaných emailov oboma hlavnými štandardami PGP aj S/MIME, zverejnil aj detaily problémov. Hoci nejde o žiadne nové zraniteľnosti v samotných štandardoch PGP a S/MIME ale o implementačné chyby v emailových klientoch a ich pluginoch a dávno známe problémy, to nič neznižuje na praktickom vážnom dopade zraniteľností. Tie totiž môžu umožniť útočníkovi získať dešifrovanú podobu šifrovaných emailov obeti.

Značky: bezpečnosťemailšifrovaniePGP

DSL.sk, 15.5.2018


Tím bezpečnostných expertov, ktorý v pondelok spolu s EFF varoval pred bezpečnostnými zraniteľnosťami s dopadom na používanie šifrovaných emailov oboma hlavnými štandardami PGP aj S/MIME, včera zverejnil aj detaily problémov.

Zraniteľnosti respektíve útoky označil menom Efail.

Ako sme správne odhadli už podľa náznakov, nejde o žiadne nové zraniteľnosti v samotných štandardoch PGP a S/MIME ale o implementačné chyby v emailových klientoch a ich pluginoch prípadne v kombinácii s dávno známymi problémami.

To nič neznižuje na praktickom vážnom dopade zraniteľností, ktoré môžu pri využívaní zraniteľného produktu umožniť útočníkovi získať dešifrovanú podobu šifrovaných emailov.

PGP a S/MIME

PGP aj S/MIME sú štandardami pre end-to-end šifrovanie emailov, pri ktorých sa email zašifruje s využitím asymetrických šifier verejným kľúčom príjemcu emailu. Odšifrovať ho tak môže len držiteľ privátneho kľúča príjemcu.

Oba štandardy kombinujú asymetrickú šifru so symetrickou, keď asymetrickou šifrujú len kľúč symetrického šifrovacieho algoritmu používaného ná šifrovanie samotného emailu.

Príjemca dostáva email so šifrovaným telom, ktoré pomocou privátneho kľúča užívateľa môže byť napríklad schopný rozšifrovať a zobraziť priamo jeho emailový klient respektíve plugin pre klienta.

Efail

Útok Efail dosahuje získanie dešifrovaného emailu pomocou donútenia samotného emailového klienta tento email odoslať s využitím emailu vo formáte HTML, keď je schopný dvomi rozličnými spôsobmi pridať samotný dešifrovaný text emailu do src parametra HTML tagu img naťahovaného z adresy pod kontrolou útočníka. Emailový klient pri snahe načítať tento obrázok tak odošle na server útočníka dešifrovaný text.

Útočník pri tomto útoku zašle obeti podvrhnutý email, do ktorého jedným z dvoch spôsobov zakomponuje šifrovaný email poslaný obeti niekým iným, k obsahu ktorého sa chce útočník dostať. Predtým samozrejme ale musí nejakým spôsobom získať prístup k telu tohto šifrovaného emailu, ktorý sa pokúša odšifrovať.

Útokom sa môže pokúsiť dešifrovať ľubovoľný aj starší email zaslaný obeti aj v minulosti.

Prvý spôsob

Z dvoch spôsobov útoku je špeciálne alarmujúce chovanie emailových klientov pri prvom spôsobe. V ňom útočník jednoducho vytvorí email s tromi časťami podľa štandardu MIME, pričom stredná tvorí predmetný šifrovaný email.

Niektoré emailové klienty po dešifrovaní emailu všetky tieto tri časti spoja a renderujú ako jeden HTML dokument. Ak útočník prvú časť ukončí otvorením parametra src tagu img a tretiu začne jeho ukončením, celá stredná časť a teda dešifrovaný email je považovaný za súčasť adresy obrázku a emailový klient ju odošle.


Účinnosť prvého spôsobu útoku proti jednotlivým klientom, kliknite pre zväčšenie (obrázok: autori Efail)



Takto sa správa podľa testu objaviteľov problému päť emailových klientov. Apple Mail a iOS Mail tak spravia bez potrebnej súčinnosti užívateľa, Thunderbird, Postbox a MailMate len s potrebnou súčinnosťou užívateľa, zrejme v podobe potreby potvrdenia načítania obrázkov v štandardnej konfigurácii.

Druhý spôsob

Druhý spôsob je už naozaj aj kryptografickým útokom, ktorý ale zneužíva mnoho rokov známe slabiny použitých blokových módov symetrických šifier v S/MIME a PGP.

V prvom prípade sa používa režim CBC a v druhom CFB, pričom oba z povahy umožňujú útočníkovi modifikovať zašifrovanú správu a špecificky vkladať na jej začiatok v následne rozšifrovanej podobe zvolený text.

Efail to využíva na modifikáciu zašifrovanej správy tak, aby na jej začiatok pridal otvorenie parametra src tagu img. Po dešifrovaní a zobrazení správy emailový klient opäť sám odošle dešifrovanú pôvodnú správu.


Ukážka modifikácie S/MIME správy za účelom útoku, kliknite pre zväčšenie (obrázok: autori Efail)



Tento útok je univerzálnejší a účinný v oveľa viac emailových klientoch, jeho účinnosť sa ale výrazne odlišuje v prípade S/MIME a PGP.


Účinnosť druhého spôsobu útoku proti PGP emailom, kliknite pre zväčšenie (obrázok: autori Efail)



V PGP útok sťažuje napríklad kompresia ale najmä už v roku 2000 bola pridaná ochrana proti takýmto modifikáciám v podobe autentifikačných paketov MDC, ktoré umožňujú detekovať modifikáciu obsahu šifrovanej správy. Štandardný nástroj pre GPG, GnuPG, následne upozorňuje, ak bola správa zmenená. Útočník síce môže niekoľkými spôsobmi správu modifikovať tak, aby odstránil MDC respektíve odstránil ich kontrolu, GnuPG následne upozorňuje na chýbajúce MDC.

Korektne implementovaný emailový klient respektíve plugin by tak mal takúto správu detekovať a nezobraziť. Na viacerých kombináciách emailových klientov a pluginov je ale útok účinný, vrátane Thunderbirdu s Enigmail, Apple Mail s GPGTools a Outlook 2007 s GPG4Win.


Účinnosť druhého spôsobu útoku proti S/MIME emailom, kliknite pre zväčšenie (obrázok: autori Efail)



V prípade S/MIME je naopak útok účinný proti množstvu klientov a väčšinou bez potreby akejkoľvek súčinnosti na strane užívateľa.

Ako používať PGP a S/MIME bezpečne

V prípade PGP nie je na strane samotného štandardu PGP ani štandardného nástroja GnuPG využívaného jednotlivými pluginmi vôbec žiadna zraniteľnosť ani chyba, keď aj možný problém modifikácie správ bol eliminovaný pred 18 rokmi. V prípade PGP je tak zodpovednosť plne na emailových klientoch prípadne ich pluginoch.

V prípade S/MIME a druhého spôsobu útoku je situácia komplikovanejšia, keď efektívny útok je umožnený možnou modifikáciou šifrovaných správ ale na druhej strane táto vlastnosť je dlhodobo známa. Či pre S/MIME existuje riešenie zabraňujúce takejto modifikácii autori Efail neinformujú, v každom prípade evidentne nie je bežne nasadené.

Aj tu je ale veľká zodpovednosť na emailových klientoch, keď nielen načítavanie obsahu z Internetu u šifrovaných a predpokladane dôverných správ ale aj vôbec renderovanie takýchto správ ako HTML kódu prinášajúce rozličné riziká je celkovo problematické a nežiadúce.

Používať zraniteľné produkty do opravenia problémov nie je v žiadnom prípade odporúčané, keď podľa tímu za Efail je možné evidentne niekoľkými spôsobmi vo viacerých klientoch obísť aj zákaz blokovania načítavania obsahu emailov z Internetu. Zároveň nie je jasné ako tvorcovia klientov opravia problémy s útokmi na S/MIME druhým spôsobom.

Navyše na podobný účel, získanie dešifrovaných emailov obeti, je možné zneužiť pri podpore dešifrovania priamo v emailových klientoch aj ľubovoľné iné bezpečnostné chyby napríklad umožňujúce spustenie útočníkom zvoleného kódu. Vhodným riešením na zváženie pre užívateľov je tak nerealizovať dešifrovanie dôverných emailov priamo v emailovom klientovi ale v inej offline aplikácii a šifrované správy medzi klientom a touto aplikáciou prenášať. Toto riešenie má ale samozrejme aj negatíva v podobe menšieho komfortu.


      Zdieľaj na Twitteri



Najnovšie články:

Nvidia má efektívnu GPU pre neurónové siete
SME začali blokovať návštevníkov s Adblockom, reklama sa dá vypnúť za 20 eur
NASA má problém s ďalším vozidlom na Marse, Curiosity neodosiela dáta
Samsung predstavil Galaxy A7 so štyrmi fotoaparátmi
Intel kvôli problémom zhoršil výrobný proces, zo 14-nm na 22-nm
NASA vyvíja tepelný štít dáždnikovej konštrukcie
Sony uviedla retro PlayStation konzolu
Bývalá prezidentka Intelu uviedla ARM procesory
Operátor nasadzuje 2 Gbps LTE
Letisko pre ransomvér vypisovalo dva dni odlety na tabule


Diskusia:
                               
 

Uvidime, ako rychlo to opravi RitLabs v ich TheBat klientovi... :)
Odpovedať Známka: 2.7 Hodnotiť:
 

skvely prehladovy clanok, ako vzdy.
Odpovedať Hodnotiť:
 

Tato zranitelnost je cisto teoreticka a jej prakticky ju nik nezneuzije.
Ak by niekto chcel tvrdit opak: Nech skusi rozsifrovat mail od poslanca Kaliho.
Odpovedať Známka: 2.2 Hodnotiť:
 

Som z toho S/MiME mimo.
Odpovedať Známka: 6.9 Hodnotiť:
 

Mutt je plne safe.
Odpovedať Známka: 4.5 Hodnotiť:
 

A kto to s bezpečnosťou myslí naozaj vážne, asi nebude používať nejaké Outlooky a Apply, ktoré pravidelne volajú domov.
Odpovedať Známka: 4.4 Hodnotiť:
 

A Thunderbirdy?
Odpovedať Známka: -10.0 Hodnotiť:
 

doporucam SYLPHEED
Odpovedať Známka: 0.0 Hodnotiť:
 

zaujímavé, že práve Outlooky okrem archaickej verzie 2007 niesú zraniteľné ...určite posielajú malú domov aby Bill mal čo čítať na dobrú noc lebo si tam nechal od 95 roku backdoor ... ach jaj máte veľkú fantáziu p. Mutt
Odpovedať Známka: -6.0 Hodnotiť:
 

"zaujímavé, že práve Outlooky okrem archaickej verzie 2007 niesú zraniteľné"

Pánko, pozrite sa ešte raz do priloženej tabuľky. Asi ste si nevšimli rozdiel medzi farbičkami.

Každá jedna verzia Outlooku je zraniteľná ("Exfiltration channel"), včítane verzie 2016. Verzie 2007 a 2010 sú "no user interaction" a verzie 2013 a 2016 "user interaction required".

Jediné dva programy v tabuľke, ktoré podporujú S/MIME a PGP a zároveň nie sú zraniteľné ("No exfiltration channel found") sú Mutt a Claws.
Odpovedať Známka: 10.0 Hodnotiť:
 

A GMAIL pouziva co PGP ci MIM. Samotny GMAIL je asi bezpecny co ?
Odpovedať Známka: -2.7 Hodnotiť:
 

maily na na SVK neposieľajú, načo aj, selfíčko s vyfešákovanou papuľou vraví za všetky mejly. No a eštébaci, mafia zlodejských komunistov kvasených vrahmi z KGB-NKVD v Moskve, tí iba pri osobnom stretnutí dúchnu na sklo, napíšu požadovanú sumu na zahmlené sklo, ktorú vzápätí po konkludentnom súhlase účastníkov dvojvrstvovou koženou rukavicou zo skla obratom zotrú. Tak sa robí kšeft, tak sa robí SVK poľitika, tak sa určujú výšky trestov pre opozičných nepriateľov našej ľudovodemokratickej spoľočnosti od roku 1948 dodnes. "Zlatí komunisti".
Odpovedať Známka: -6.4 Hodnotiť:
 

prečo nestačí zakázať resp ako sa dá obísť nepovolenie načítania remote v TB?
Odpovedať Známka: 0.0 Hodnotiť:
 

A moja obľúbená tutanota v tabuľke nie je. Má síce iba 128bit AES ale aj keby niekto odchytil správu tak v nej nájde súbor *.7z zaheslovaný v 256bit EAS kryptovaní lebo takto správy o stave počasia a emociálneho rozpoloženia posielam ja svojim rodinným príslušníkom.
Odpovedať Hodnotiť:
 

kedze oba su v podstate textove, tak tam html extraction ani nedava zmysel :-)
Odpovedať Známka: -3.3 Hodnotiť:
 

v clanku som sa nedozvedel ako ich bezpecne pouzivat
Odpovedať Hodnotiť:
 

There are certainly a whole lot of details like that to take into consideration. That is a nice level to bring up. I offer the thoughts above as normal inspiration however clearly there are questions like the one you deliver up where the most important thing shall be working in sincere good faith. I don?t know if best practices have emerged round things like that, but I'm sure that your job is clearly recognized as a fair game. Each girls and boys really feel the impression of only a second? pleasure, for the rest of their lives.
<a href="http://www.adidassuperstar.us.com" >adidas superstar</a> [url=http://www.adidassuperstar.us.com]adidas superstar[/url]
Odpovedať Známka: 3.3 Hodnotiť:

Pridať komentár