De SigSpoof PGP Bug is ontdekt aan een tien jaar oude dreiging waarmee hackers om handtekeningen en de identiteit van een gebruiker spoof. Dit is een zeldzame geval waar een beveiligingsprobleem al vele jaren beschikbaar is geweest en de kwetsbaarheid was gewoon nu ontdekt. PGP is een van de meest gebruikte encryptie gereedschappen, voornamelijk gebruikt in e-mailcommunicatie.
CVE-2018-12.020: De impact van SigSpoof PGP Bug
PGP is de meest bekende werkwijze voor het verschaffen van veilige communicatie met behulp van de publiek-private key methode. Het lijkt echter dat een tien jaar oude kwetsbaarheid werd opgenomen in de kern die net werd ontdekt. Zodra de security community kondigde de SigSpoof PGP bug vrijwel alle belangrijke softwareprogramma's en diensten waren snel bijgewerkt.
De verstrekte beveiligingsadvies CVE-2018-12.020 blijkt dat de GnuPG pakket (die de basis voor alle grote implementaties) mishandles de oorspronkelijke bestandsnamen tijdens de decryptie en verificatie acties. Als gevolg aanvallers op afstand de uitgang van de betreffende handelingen kunnen spoofen. Volgens een van de deskundigen dat de SigSpoof fout ontdekt (Marcus Brinkmann) schreef dat de conseuqnces kunnen worden verwoestende. De GnuPG code wordt gebruikt in een verscheidenheid aan diensten, waaronder software-updates in Linux-distributies (voor het verifiëren van de verpakkingen), backups, broncode releases en.
Volgens de CVE-2018-12.020 adviserende de SigSpoof PGP bug alleen van invloed op de software die de uitgebreide optie hebt ingeschakeld. Een security praktijk is om het uit te schakelen standaard echter een aantal online gidsen zijn gevonden aan te bevelen.
De bug werkt door het verbergen van de metadata op een manier die de hulpprogramma's zorgt ervoor om het te behandelen als het resultaat van een handtekening verificatie. Als gevolg van de e-mail apps ten onrechte laten zien dat de berichten werden ondertekend door een identiteit van de hackers gekozen. De vereiste parameters om de spoof uit te voeren slechts een openbare of de toets ID.
Op een verwante nota op twee verschillende gelegenheden extra bugs in verband met client-software toont aan dat hackers voordeel had kunnen nemen van het probleem. De eerste keer laat zien dat de criminelen de handtekeningen kunnen spoofen als de uitgebreide modus niet is ingeschakeld. De andere geïdentificeerde bug maakt het zelfs mogelijk de uitvoering van kwaadaardige code in aanvulling op de spoofing operaties.
Alle gebruikers die worden uitgevoerd implementaties van OpenPGP en bijbehorende code moeten controleren met hun leveranciers om te zien of ze de kwetsbaarheid gepatcht.