image

Versleutelde e-mail onbetrouwbaar door GnuPG probleem

donderdag 8 maart 2007, 12:14 door Redactie, 6 reacties

Beveiligingsonderzoeker Gerardo Richarte heeft een probleem in GnuPG ontdekt waardoor kwaadwillende personen met digitaal getekende en versleutelde e-mails kunnen knoeien. Het probleem wordt veroorzaakt door de manier waarop bepaalde e-mail clients met GnuPG ondertekende berichten weergeven. Hierdoor is het niet mogelijk om te bepalen welk gedeelte van het bericht getekend is.

"Het is mogelijk om extra tekst voor of na het gesigneerde of versleutelde OpenPGP bericht te plaatsen, en de gebruiker te laten geloven dat deze extra tekst gesigneerd is" zo waarschuwt het Gnu Privacy Guard team. De applicatie moet dan wel in "streaming mode" gebruikt worden. Hoewel het niet om een beveiligingslek gaat, heeft men toch een update uitgebracht die via deze advisory te vinden is.

Een waarschuwing is op z'n plaats. Het installeren van de update kan ervoor zorgen dat de betreffende e-mail applicatie hier niet mee werkt. "Het updaten van de applicatie is nodig, aangezien dit iets is dat onmogelijk door GnuPG gedaan kan worden" (ISC)

Reacties (6)
08-03-2007, 14:41 door linuxpro
Hoeveel mensen gebruiken dit? ..ik ben zelf eens een tijdje
actief hiermee bezig geweest. Onder linux/unix zijn hier wel
handige programma's/tools voor maar onder windows (lees
outlook)...

Op zich is dit probleem trouwens niet echt een ramp.. zeker
niet als je buiten het ondertekenen encrypted verstuurd
08-03-2007, 15:05 door koekblik
Ik gebruik GnuPG + Mutt. Mutt laat echter duidelijk zien
waar het gesigneerde deel begint en eindigt.
08-03-2007, 17:08 door Anoniem
Als je het artikel leest heeft het niets te maken met GnuPG
maar met de manier waarom de mail client het gesigneerde
bericht toont en overige tekst. Deze scheiding is er niet of
slecht en derhalve kan het lijken alsof de overige tekst bij
het gesigneerde hoort.
08-03-2007, 17:28 door Anonl3m
Misschien ook wel handig om van de gesigneerde
e-mailberichten die je ontvangt te controleren of de
handtekening wel klopt. Dat was toch de achterliggende reden
van het digitaal ondertekenen van een e-mailbericht?
08-03-2007, 18:12 door Anoniem
gebruik zelf s/mime met thunderbird, zowel op windows als
linux...
werkt perfect.

gratis single user certificaten kan je bv bij thawhte aanvragen:

http://www.thawte.com/secure-email/web-of-trust-wot/wot_does.html
09-03-2007, 09:04 door Anoniem
hmm.. mensen die GnuPG gebruiken moet je niet verwarren met Windows
klick-vee. het valt zowiezo wel op dat het niet gecodeerde stuk meer tekst
bevat dan wat dan ook in het mailtje.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.