image

Wachtwoordmanager KeePass krijgt digitale handtekening

maandag 6 juni 2016, 14:26 door Redactie, 2 reacties

De wachtwoordmanager KeepPass gaat voortaan update-informatie over de software van een digitale handtekening voorzien, om zo man-in-the-middle-aanvallen te voorkomen. Via KeePass kunnen gebruikers allerlei wachtwoorden voor online diensten en websites opslaan.

De software beschikt niet over een automatische updatefunctie, maar controleert wel automatisch of er updates beschikbaar zijn. Een aanvaller die zich tussen het internet en de gebruiker bevindt kan deze controle onderscheppen en de gebruiker naar een kwaadaardige update of downloadpagina wijzen. De gebruiker moet deze update nog wel zelf downloaden en installeren.

Beveiligingsonderzoeker Florian Bogner ontdekte het probleem en waarschuwde KeePass-ontwikkelaar Dominik Reichl. Die liet in eerste instantie weten dat het probleem niet zou worden opgelost. De indirecte kosten van het overstappen op https, zoals het mislopen van advertentie-inkomsten, zouden het een onwerkbare oplossing maken. Reichl stelt verder dat niet alleen de update-informatie via http wordt aangeboden, ook de website is alleen via http te bereiken. Het overstappen op https voor alleen de update-informatie zou dan ook zinloos zijn, aldus de ontwikkelaar.

Een veiligere oplossing is volgens hem dan ook het gebruik van een digitale handtekening voor de update-informatie. Zelfs als een aanvaller de webserver zou hacken kunnen gebruikers nog steeds controleren of aangeboden bestanden over de juiste digitale handtekening beschikken. Vanaf KeePass 2.34 is dan ook alle update-informatie digitaal ondertekend. Het is wel aan gebruikers om deze handtekening voor het downloaden en installeren te controleren.

Image

Reacties (2)
06-06-2016, 16:03 door Anoniem
En hier de orginele reactie op de KeePass website.

http://keepass.info/help/kb/sec_issues.html#updsig
13-06-2016, 13:32 door Anoniem
"Een aanvaller die zich tussen het internet en de gebruiker bevindt kan deze controle onderscheppen"

Concreter zou zijn: tussen de updateserver van KeePass en de gebruiker.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.