image

NCSC waarschuwt voor dubbele pgp-sleutels op keyservers

donderdag 11 augustus 2016, 13:29 door Redactie, 8 reacties

Het Nationaal Cyber Security Center (NCSC) van de overheid heeft een waarschuwing voor dubbele pgp-sleutels afgegeven die op de keyservers zijn gepubliceerd en ervoor kunnen zorgen dat pgp-gebruikers versleutelde berichten niet kunnen lezen.

Om versleuteld te kunnen e-mailen wordt er gebruik gemaakt van een publieke en privésleutel. De afzender gebruikt de publieke sleutel van de ontvanger om het bericht te versleutelen. De ontvanger kan het bericht vervolgens met zijn privésleutel ontsleutelen en zo de inhoud lezen. Om het eenvoudiger te maken om deze publieke sleutels uit te wisselen werden keyservers bedacht. Een keyserver is een centrale plek waar mensen hun publieke sleutel opslaan en met iedereen kunnen delen die erom vraagt.

Recent zijn er dubbele pgp-sleutels op de keyservers gepubliceerd. Deze sleutels hebben dezelfde 'user-ID' (het e-mailadres) en 'key-ID' van andere sleutels. Het 'key-ID' wordt gevormd door de laatste 32 bits van de sleutel. Dit kan een probleem zijn voor mensen die versleuteld met elkaar willen e-mailen en de keyservers gebruiken om een publieke sleutel te vinden. Indien er gezocht wordt op het e-mailadres of het korte 'key-ID' kan de dubbele sleutel worden opgehaald. Deze methode is in 2014 gepubliceerd als de Evil32-aanval.

De onderzoekers van de Evil32-aanval hebben in 2014 een grote set dubbele sleutels gegenereerd en beschikbaar gesteld. Samen met SURFcert heeft het NCSC vastgesteld dat deze verzameling in juni naar de publieke keyservers is gestuurd. Het is volgens het NCSC onwaarschijnlijk dat deze dubbele sleutels van de keyservers verwijderd zullen worden. Wie van een keyserver een publieke sleutel downloadt wordt geacht na het binnenhalen van de sleutel te verifiëren of het om de echte sleutel gaat.

Als alleen gekeken wordt naar het 'key-ID', kan mogelijk een dubbele sleutel gebruikt worden voor het versleutelen van berichten. Wordt een bericht met deze dubbele pgp-sleutel versleuteld in plaats van de originele pgp-sleutel, dan zal de beoogde ontvanger het bericht niet kunnen ontsleutelen en lezen. De beschikbare verzameling dubbele pgp-sleutels bevat geen geheime sleutels. De dubbele sleutels kunnen dan ook niet direct door aanvallers worden gebruikt om berichten te ontsleutelen.

Maatregelen

Het NCSC adviseert om bij het toevoegen van nieuwe sleutels altijd de volledige fingerprint te controleren, bijvoorbeeld door deze telefonisch te verifiëren bij de eigenaar. Indien er een dubbele sleutel in omloop is kunnen derden deze gebruikt hebben. Hierdoor zijn e-mailberichten mogelijk onleesbaar omdat het ontsleutelen met de originele sleutel niet werkt. Gebruikers krijgen in dit geval het advies om de verzender de dubbele sleutel onbruikbaar te laten maken. Daarnaast wordt geopperd om een nieuwe pgp-sleutel te genereren als er een dubbele sleutel voor het e-mailadres in omloop is en de nieuwe fingerprint met alle contacten te delen.

Reacties (8)
11-08-2016, 13:41 door Erik van Straten
Advocaat van de duivel spelend...
Door Redactie: [...] en de nieuwe fingerprint met alle contacten te delen.
en
Uit [1], Door NCSC: [...] Overweeg een nieuwe PGP sleutel te genereren als er een duplicaat sleutel in omloop is voor uw e-mailadres. Communiceer de nieuwe fingerprint naar uw contacten.
Dus als ik een gesigneerde e-mail (met de nieuwe sleutel) van iemand ontvang die schrijft dat hij zijn oude sleutel niet meer gebruikt vanwege een duplicate key-ID, en mij verzoekt zijn oude sleutel aan mijn sleutelbos te vervangen door de nieuwe, dan moet ik dat gewoon doen?

[1] https://www.ncsc.nl/actueel/factsheets/gedupliceerde-pgp-sleutels.html
11-08-2016, 14:31 door Anoniem
Wat raar dat niemand dit gebruikt he? Of denkt men echt dat Henk en Ingrid hier chocola van kunnen maken?
11-08-2016, 14:52 door Anoniem
Door Erik van Straten: Advocaat van de duivel spelend...
Door Redactie: [...] en de nieuwe fingerprint met alle contacten te delen.
en
Uit [1], Door NCSC: [...] Overweeg een nieuwe PGP sleutel te genereren als er een duplicaat sleutel in omloop is voor uw e-mailadres. Communiceer de nieuwe fingerprint naar uw contacten.
Dus als ik een gesigneerde e-mail (met de nieuwe sleutel) van iemand ontvang die schrijft dat hij zijn oude sleutel niet meer gebruikt vanwege een duplicate key-ID, en mij verzoekt zijn oude sleutel aan mijn sleutelbos te vervangen door de nieuwe, dan moet ik dat gewoon doen?

[1] https://www.ncsc.nl/actueel/factsheets/gedupliceerde-pgp-sleutels.html
Tja je zult wel moeten, wordt zeker en vast nog veel gedaan hoor. Als iemand het wachtwoord verloren is bijvoorbeeld, dan zul je het ook gewoon moeten vernieuwen of hij kan je email niet lezen.
11-08-2016, 14:58 door Anoniem
Door Erik van Straten: Advocaat van de duivel spelend...
Door Redactie: [...] en de nieuwe fingerprint met alle contacten te delen.
en
Uit [1], Door NCSC: [...] Overweeg een nieuwe PGP sleutel te genereren als er een duplicaat sleutel in omloop is voor uw e-mailadres. Communiceer de nieuwe fingerprint naar uw contacten.
Dus als ik een gesigneerde e-mail (met de nieuwe sleutel) van iemand ontvang die schrijft dat hij zijn oude sleutel niet meer gebruikt vanwege een duplicate key-ID, en mij verzoekt zijn oude sleutel aan mijn sleutelbos te vervangen door de nieuwe, dan moet ik dat gewoon doen?

[1] https://www.ncsc.nl/actueel/factsheets/gedupliceerde-pgp-sleutels.html


Uit ditzelfde stuk: "Het NCSC adviseert om bij het toevoegen van nieuwe sleutels altijd de volledige fingerprint te controleren, bijvoorbeeld door deze telefonisch te verifiëren bij de eigenaar."
11-08-2016, 15:51 door Anoniem
Eerst vraag ik mij af welke bedoeling de Evil32 makers hiermee hebben, want aan deze duplicaatsleutel zit geen geheime sleutel, dus kunnen ze de versleutelde berichten met deze publieke sleutels zelf ook niet ontcijferen.

De key-ID van een sleutel laat de laatste 8 getallen van de Fingerprint daarvan zien bijvoorbeeld (0xF0D5B1E5).
Nu heb ik de 64bits uitvoering van probeerversie PGP Symantec 10.30.MP3 geïnstalleerd, en gelet op de Fingerprint van de sleutel, is deze 64bits, maar de Key-ID is niet groter dan 8 getallen, en dat is dan 32bits.
De vraag is hoe krijg ik een 64bits Key-ID, of is dat niet mogelijk.
11-08-2016, 16:01 door Anoniem
Door Anoniem: Wat raar dat niemand dit gebruikt he? Of denkt men echt dat Henk en Ingrid hier chocola van kunnen maken?

Als Henk en Ingrid geen analfabeten zijn dan kunnen ze lezen. Mensen die kunnen lezen kunnen handleidingen opzoeken en lezen.

Dankzij Henk en Ingrid hebben we nu berichtenboxen en online belastingaangifte, die HTTPS gebruiken, waar elke week wel weer een nieuw kritiek lek voor in het nieuws verschijnt. Websites zijn nooit ontworpen als privaat communicatiemiddel maar als publiek presentatiemiddel.

Bedankt Henk en Ingrid.

Maar goed, beetje gelijk heb je wel. Als de overheid eens pro actief zouden optreden zouden ze het een stuk toegankelijker kunnen maken.
12-08-2016, 08:32 door Anoniem
Door Erik van Straten: Advocaat van de duivel spelend...
Dus als ik een gesigneerde e-mail (met de nieuwe sleutel) van iemand ontvang die schrijft dat hij zijn oude sleutel niet meer gebruikt vanwege een duplicate key-ID, en mij verzoekt zijn oude sleutel aan mijn sleutelbos te vervangen door de nieuwe, dan moet ik dat gewoon doen?
PGP gebruik je om veilig te communiceren. Dat wil zeggen dat jij en de andere partij de risico's rond confidentialiteit, authenticiteit en integriteit zo veel mogelijk wil beperken. Je zal dan minimaal de andere partij al voldoende willen vertrouwen om die een bericht te zenden of daarvan te ontvangen en vice versa.

Als je zonder verdere controle een willekeurige sleutel gaat gebruiken neem je bijna geen risico weg en kan je jezelf beter gaan bezinnen waarom je pgp wil gebruiken. Wat je op zijn minst zou moeten doen is vooraf bij de andere partij controleren of de sleutel werkelijk van die andere is. Liefst zo persoonlijk mogelijk, via een medium dat je genoeg kan vertrouwen.
12-08-2016, 11:16 door Fwiffo
Door Anoniem: Eerst vraag ik mij af welke bedoeling de Evil32 makers hiermee hebben, want aan deze duplicaatsleutel zit geen geheime sleutel, dus kunnen ze de versleutelde berichten met deze publieke sleutels zelf ook niet ontcijferen.

De key-ID van een sleutel laat de laatste 8 getallen van de Fingerprint daarvan zien bijvoorbeeld (0xF0D5B1E5).
Nu heb ik de 64bits uitvoering van probeerversie PGP Symantec 10.30.MP3 geïnstalleerd, en gelet op de Fingerprint van de sleutel, is deze 64bits, maar de Key-ID is niet groter dan 8 getallen, en dat is dan 32bits.
De vraag is hoe krijg ik een 64bits Key-ID, of is dat niet mogelijk.
Een PGP KeyID is 64 bits, ofwel 16 hexadecimale tekens, ofwel 8 octets, ofwel 8 bytes groot. Intern dan. Voor de gebruiker is deze vaak 4 bytes groot. https://tools.ietf.org/html/rfc4880#section-3.3

Met een zogenaamde 'DEADBEEF' aanval, worden net zolang nieuwe sleutelparen gemaakt tot deze de gewenste KeyID opleveren ('0xDEADBEEF' dus).. Dit was al bekend en mogelijk in de jaren negentig. Waarom het nu anders heet weet ik niet. Erg vervelend dat ze de keyservers met zulke sleutels hebben zitten vervuilen. (Niet dat ik een groot fan van keyservers ben, maar dit was onnodig).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.