non-ASCII incompatibiliteit GnuPG versus PGP Desktop
ï, é, î, à e.d.) worden door PGP Desktop als onjuist gezien
(bad signature), terwijl die in puur ASCII (7bit) tekst wel
correct als good signature wordt gezien. Hierbij ga ik uit
van de laatste versies van beide programma's.
Hoe kunnen non-ASCII teksten (Latin-1, utf8 e.d.) toch
uitwisselbaar worden gesigneerd?
fout? Character encoding anders/verkeerd?
7 bit ascii heeft die tekens niet... Ergens een conversie
fout? Character encoding anders/verkeerd?
indirect een verschil in character encoding. De vraag is hoe
non-ASCII teksten zoals ISO-8859-1 en
UTF-8 etcetera toch onderling uitwisselbaar
kunnen worden gesigneerd?
altijd 7 bit ascii.. Zie RFC-2047..
Verder kan ik me voorstellen dat het het versturen van een
bericht in ISO-8859-1 en het lezen in ISO-8859-15 (of
andersom) een (cryptografisch) verschil op kan leveren..
Ik doelde eigenlijk meer op de conversie.. MIME gebruikt
altijd 7 bit ascii.. Zie RFC-2047..
Verder kan ik me voorstellen dat het het versturen van een
bericht in ISO-8859-1 en het lezen in ISO-8859-15 (of
andersom) een (cryptografisch) verschil op kan leveren..
Inmiddels ben ik redelijk wat tests verder en blijkt het
probleem zich alleen bij clearsigned berichten voor te doen.
Wanneer deze worden geëncrypted èn
gesigneerd is er geen vuiltje aan de lucht tussen
beiden programma's: dan is het 'in alle talen' uitwisselbaar.
Dat verwacht je dan eigenlijk niet. Liever dat het bij enkel
signeren uitwisselbaar is, want encryptie voor alleen de
punctualiteit van berichten is wel een behoorlijke overkill. :)
Weet iemand of er in PGP Desktop zaken zijn in te stellen
c.q. te forceren inzake de conversie van character encoding?
wijze hoe mensen met PGP Desktop hun berichten
signeren èn dat van anderen verifiëren. Het zit hem in de
interactie van randprogrammatuur (zoals een mailprogramma)
versus de handmatige verhandelingen waarmee de UTF8
encodering wordt vernaggeld en dus een valse signatuur
oplevert. PGP Desktop's Decrypt, Verify, Encrypt en
Sign-functies voor het clipboard èn current
window blijken daarmee onbetrouwbare methodes.
Wanneer men deze functies rechtstreeks op met GnuPG
gesigneerde bestanden toepast zonder deze eerst met
een ander programma te openen, is er ook géén vuiltje aan de
lucht.
Dat verklaart meteen waarom geëncrypte gesigneerde
berichten geen problemen opleveren: die zijn 7bit
geëncodeerd en blijven dus onaangetast bij handmatige
verhandelingen onder Windows bij PGP Desktop.
Het is dus een bug in PGP Desktop voor Windows inzake de
clipboard èn current window-functies waarbij
de oorspronkelijk bedoelde characterset niet intact blijft
met de gevolgen van dien.
Ik pak een paracetamol. Ik hoef de sourcecode van GnuPG
gelukkig niet te wijzigen. :)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (Operationele Techniek)
bij HHNK
Heb jij een passie voor informatiebeveiliging en wil je jouw expertise inzetten in een organisatie met impact? Solliciteer nu! Bij HHNK hechten we veel waarde aan de veiligheid van onze informatie en systemen. Met een breed scala aan operationele techniek (OT) voor onze taken, is het essentieel om deze veilig te houden.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.