| View previous topic :: View next topic |
| Author |
Message |
EOF
Guru
Joined: 02 Jul 2003
Posts: 345
Location: Usingen
|
 Posted: Wed Feb 16, 2005 8:36 pm Post subject: [OT] Schwachstelle in OpenPGP |
 |
|
http://www.heise.de/newsticker/meldung/56350
Ich habe irgendwann mal hier diese verschlüsselungsmethode vorgeschlagen. Nun rate ich davon ab.
| Code: |
cat password.txt | gpg --passphrase-fd 0 --compress-algo 0 --cipher-algo AES256 --symmetric $i
|
Nutze das um mein home verzeichnis tarball auf eine von mehreren personen benutze externe hd zu sichern.
Ein schmutziger workaround ist es die ersten 2 bytes pro block mit nullen zu füllen  (oder wenigstens
kompression aktivieren).
Lässt sich eigentlich schon jetzt ein "Quick-Scan" bei gpg unmöglich machen?
Wenn ich irgendwo falsch liege oder gar zu schwarz male, dann korrigiert mich bzw. hellt auf. |
|
| Back to top |
|
 |
l3u
Advocate
Joined: 26 Jan 2005
Posts: 2546
Location: Konradsreuth (Germany)
|
| Posted: Wed Feb 16, 2005 8:50 pm Post subject: |
|
|
| heise wrote: | | Endanwender dürften von dem Problem allerdings kaum betroffen sein, denn der Angriff setzt voraus, dass quasi beliebig viele erfolglose Entschlüsselungsversuche vorgenommen werden. Gefährdet sind Systeme, die verschlüsselte Nachrichten automatisch entschlüsseln. |
Also? Wo liegt das Problem? Wie oft gibst du denn so im Durchschnitt deine Passphrase falsch ein? ;-) |
|
| Back to top |
|
|
EOF
Guru
Joined: 02 Jul 2003
Posts: 345
Location: Usingen
|
| Posted: Wed Feb 16, 2005 9:16 pm Post subject: |
|
|
| Libby wrote: | | heise wrote: | | Endanwender dürften von dem Problem allerdings kaum betroffen sein, denn der Angriff setzt voraus, dass quasi beliebig viele erfolglose Entschlüsselungsversuche vorgenommen werden. Gefährdet sind Systeme, die verschlüsselte Nachrichten automatisch entschlüsseln. |
Also? Wo liegt das Problem? Wie oft gibst du denn so im Durchschnitt deine Passphrase falsch ein?  |
Die antwort auf "Wo liegt das Problem?" liegt im letzten satz deines heise-zitates. Ausserdem will nicht ich meine verschlüsselte datei knacken, sondern die geschwister bob&alice. Und die benutzen die externe hd auch und haben somit zugriff auf meine datei und beliebig viele versuche zum entschlüsseln. Nächster |
|
| Back to top |
|
|
Inte
Veteran
Joined: 15 Jul 2003
Posts: 1387
Location: Mannheim, GER
|
| Posted: Wed Feb 16, 2005 11:50 pm Post subject: |
|
|
Ich weiß nicht genau, ob Du den Artikel genau gelesen hast, denn das eigentliche Problem besteht darin, dass es möglich ist von einem Datensatz einen Fake mit dem gleichen Hashwert zu bilden. Der Inhalt besteht (momentan) nur aus zusammenhanglosen Bytekombinationen. - Ein auslesen bzw. verändern von Daten ist ohne den passenden Private Key nicht möglich, da SHA-1 nur zum Signieren, aber nicht zum (de-)chiffrieren benutzt wird.
_________________
Gentoo Linux - Die Metadistribution |
|
| Back to top |
|
|
EOF
Guru
Joined: 02 Jul 2003
Posts: 345
Location: Usingen
|
| Posted: Thu Feb 17, 2005 8:54 am Post subject: |
|
|
| Inte wrote: | | Ich weiß nicht genau, ob Du den Artikel genau gelesen hast, denn das eigentliche Problem besteht darin, dass es möglich ist von einem Datensatz einen Fake mit dem gleichen Hashwert zu bilden. Der Inhalt besteht (momentan) nur aus zusammenhanglosen Bytekombinationen. - Ein auslesen bzw. verändern von Daten ist ohne den passenden Private Key nicht möglich, da SHA-1 nur zum Signieren, aber nicht zum (de-)chiffrieren benutzt wird. |
Ich glaub wir meinen unterschiedliche artikel. Du meinst
http://www.heise.de/newsticker/meldung/56428
und ich
http://www.heise.de/newsticker/meldung/56350
Das mit SHA-1 ist natürlich auch schade ...
| Quote: |
[...] für symmetrisch verschlüsselte Nachrichten (nur durch eine Passphrase und keinen Schlüssel geschützt) bleibt er allerdings aktiv. [...]
|
Es ist vom "Quick Scan" die rede. Ich bin genau in der zitierten situation (nur Passphrase). D.h. doch, dass in meinem fall 6.25 % der daten entschlüsselt werden kann (mit grossem zeitaufwand). Leider habe ich momentan keine zeit die entsprechenden papers zu lesen. |
|
| Back to top |
|
|
l3u
Advocate
Joined: 26 Jan 2005
Posts: 2546
Location: Konradsreuth (Germany)
|
| Posted: Thu Feb 17, 2005 10:42 am Post subject: |
|
|
Also grundsätzlich find ich's immer _sehr_ praktisch erstmal sinnfrei den ganzen letzten Beitrag zu zitieren. Denn das erhöht die Übersicht und Lesbarkeit, und verhindert gleichzeitig, daß man die Diskussion durch unnötig viel Text aufbläht ;-) Also mach ich das jetzt auch mal:
| EOF wrote: | | Inte wrote: | | Ich weiß nicht genau, ob Du den Artikel genau gelesen hast, denn das eigentliche Problem besteht darin, dass es möglich ist von einem Datensatz einen Fake mit dem gleichen Hashwert zu bilden. Der Inhalt besteht (momentan) nur aus zusammenhanglosen Bytekombinationen. - Ein auslesen bzw. verändern von Daten ist ohne den passenden Private Key nicht möglich, da SHA-1 nur zum Signieren, aber nicht zum (de-)chiffrieren benutzt wird. |
Ich glaub wir meinen unterschiedliche artikel. Du meinst
http://www.heise.de/newsticker/meldung/56428
und ich
http://www.heise.de/newsticker/meldung/56350
Das mit SHA-1 ist natürlich auch schade ...
| Quote: | | [...] für symmetrisch verschlüsselte Nachrichten (nur durch eine Passphrase und keinen Schlüssel geschützt) bleibt er allerdings aktiv. [...] |
Es ist vom "Quick Scan" die rede. Ich bin genau in der zitierten situation (nur Passphrase). D.h. doch, dass in meinem fall 6.25 % der daten entschlüsselt werden kann (mit grossem zeitaufwand). Leider habe ich momentan keine zeit die entsprechenden papers zu lesen. |
Aber jetzt mal Ernst beiseite:
| EOF wrote: | | Ausserdem will nicht ich meine verschlüsselte datei knacken, sondern die geschwister bob&alice. Und die benutzen die externe hd auch und haben somit zugriff auf meine datei und beliebig viele versuche zum entschlüsseln. Nächster. |
Also, wenn das so wäre, dann könnte ja jeder meine per Mail verschickten Daten abfangen (geht ja bekanntermaßen ohne größere Probleme), und dann selber beliebig viele Entschlüsselungsversuche machen (_ohne_ den privaten Schlüssel zu haben).
/Wenn/ das der Fall sein sollte, dann erklär mir doch bitte mal
| Quote: | | Als einfache Lösung schlagen Mister und Zuccherato vor, den Quick-Scan standardmäßig nicht durchzuführen, sondern stattdessen immer die gesamte Nachricht auf dem symmetrischen Schlüssel zu überprüfen. |
Mal ganz abgesehen davon: Alice & Bob wollen verschlüsselte Nachrichten austauschen. /Die/ beiden wollen keine Nachrichten knacken. Vielmehr versucht immer Eve, die von Alice und Bob verschickten Nachrichten zu lesen. Soviel zur Theorie ;-)
Ach ja: Dann haben wir ja noch
| http://www.gnupg.org/ wrote: | | Last night, Serge Mister and Robert Zuccherato published a paper reporting on an attack against OpenPGP symmetric encryption ... |
Die schreiben "against OpenPGP _symmetric_ encryption". Also für mich sieht das so aus, als ob das Problem _tatsächlich_ nur die symmetrische Verschlüsselung betreffen würde, weil bei der asymmetrischen kann man es ja einfach umgehen (s.o.).
Und grundsätzlich muß man ja auch nochmal festhalten, daß das Problem irgendwo an der Oberfläche von PGP und GnuPG liegt, nicht aber an dem eigentlichen Verschlüsselungsalgorithmus. Weil solang es noch keinen Quantencomputer gibt (und den wird es evtl. nie geben), dann wird auch keiner RSA knacken können. Und dieses Problem kann man ja schließlich lösen, indem man auf besagte Quick Scans verzichtet. Wird halt in der nächsten Version von GnuPG gefixt.
Folglich sehe ich keine Veranlassung dafür, jemandem von der Verwengung von GnuPG anzuraten.
Der nächste, bitte! ;-) |
|
| Back to top |
|
|
EOF
Guru
Joined: 02 Jul 2003
Posts: 345
Location: Usingen
|
| Posted: Thu Feb 17, 2005 11:27 am Post subject: |
|
|
| Quote: |
[...] Also für mich sieht das so aus, als ob das Problem _tatsächlich_ nur die symmetrische Verschlüsselung betreffen würde, [...]
|
Gratuliere zu deiner schnellen auffassungsgabe ... und lies den code in meiner ersten post ...
| Quote: |
[...] Und dieses Problem kann man ja schließlich lösen, indem man auf besagte Quick Scans verzichtet. Wird halt in der nächsten Version von GnuPG gefixt. [..]
|
Die verschlüsselte datei bleibt auf ewig unsicher, da "Quick Scans" darauf möglich sind. Wenn OpenPGP "Quick Scans" beim symetrischen verschlüsseln vorsieht ....
Es geht übrigens nicht um emails, RSA ... sonder um symetrische verschlüsselung von dateien per blockchiffre.
Aber du hast natürlich recht |
|
| Back to top |
|
|
platinumviper
l33t
Joined: 12 Feb 2004
Posts: 648
Location: Munich, Germany
|
| Posted: Thu Feb 17, 2005 11:56 am Post subject: Re: [OT] Schwachstelle in OpenPGP |
|
|
| EOF wrote: | | Ein schmutziger workaround ist es die ersten 2 bytes pro block mit nullen zu füllen (oder wenigstens kompression aktivieren). |
Wenn Du den Tarball vor der Verschlüsselung mit gzip komprimierst, kann der Angreifer mit den Daten nichts anfangen. Du kannst die Daten natürlich auch mit tac statt cat oder cp auf die Platte schreiben, oder mit split zerlegen und in einer anderen Reihenfolge wieder zusammen setzen bzw die ersten x KB auf einem Stick speichern und nur den Rest auf die externe Platte schieben. Die einfachste Möglichkeit besteht natürlich darin, asymmetrische statt symmetrischer Verschlüsselung zu verwenden.
Ich poste auch mal die Originalmail von David Shaw:
| Quote: | From: David Shaw <dshaw@jabberwocky.com>
To: gnupg-announce@gnupg.org
Subject: [Announce] Attack against OpenPGP encryption
Date: Thu, 10 Feb 2005 20:11:15 -0500
Sender: gnupg-announce-bounces@gnupg.org
User-Agent: Mutt/1.5.7i
Last night, Serge Mister and Robert Zuccherato published a paper
reporting on an attack against OpenPGP symmetric encryption.
This attack, while very significant from a cryptographic point of
view, is not generally effective in the real world. To be specific,
unless you have your OpenPGP program set up as part of an automated
system to accept encrypted messages, decrypt them, and then provide a
response to the submitter, then this does not affect you at all.
There is a very good writeup on the attack that goes into more depth
at http://www.pgp.com/library/ctocorner/openpgp.html
There will undoubtedly be further discussion of this over the next
several days, but I wanted to provide a few comments now, to try and
answer some questions that may arise:
1) This is not a bug in any particular OpenPGP implementation (GnuPG,
PGP, Hushmail, etc). Rather, this is an attack against the OpenPGP
protocol itself.
2) The attack requires an average of 32,768 probes to get two bytes of
plaintext. This is why it is completely ineffective against
human beings, who will presumably wonder why a stranger wants them
to decrypt thousands and thousands of messages that won't decrypt,
and then tell them what errors were seen.
3) It might be effective against an automated process that
incorporates OpenPGP decryption, if that process returns errors
back to the sender.
4) The OpenPGP Working Group will be discussing this issue and coming
up with an effective and permanent fix. In the meantime, I have
attached two patches to this mail. These patches disable a
portion of the OpenPGP protocol that the attack is exploiting.
This change should not be user visible. With the patch in place,
this attack will not work using a public-key encrypted message. It
will still work using a passphrase-encrypted message. These
patches will be part of the 1.2.8 and 1.4.1 releases of GnuPG.
5) The full paper is available at http://eprint.iacr.org/2005/033
It's a great piece of work.
David
[application/pgp-signature (249 bytes)]
_______________________________________________
Gnupg-announce mailing list
Gnupg-announce@gnupg.org
http://lists.gnupg.org/mailman/listinfo/gnupg-announce
|
platinumviper
PS:
Für die ersten beiden Bytes des ersten Blocks benötigte ein Pentium M 1,8 MHz unter 4 Stunden und für die ersten beiden Bytes der folgenden Blöcke jeweils unter zwei Stunden.
_________________
No money back garantee. In case of problems, don't call us, we call you. |
|
| Back to top |
|
|
zervus
Tux's lil' helper
Joined: 19 Jan 2005
Posts: 133
|
| Posted: Thu Feb 17, 2005 12:19 pm Post subject: |
|
|
Das PGP Advisory solltet ihr euch auch mal anschauen, dort ist recht ausführlich erklärt, was genau das Problem ist.
Dort steht u.a.:
| PGP Advisory wrote: | | If, however, you are using an OpenPGP-based program that is part of an automated system that takes encrypted data, decrypts the data block, and gives feedback to the submitter about whether the data block was properly decrypted, then you may be affected. Again, we know of no real-world systems that are affected, but we can mentally construct applications that might be affected. |
Sprich: Um angreifbar zu sein, braucht man ein Programm das die Daten automatisch dekodiert, dafür muss es natürlich das Passwort kennen. Manipuliert man nun die Daten schlägt die Dekodierung fehl und aus den Fehlermeldungen kann man dann Rückschlüsse auf die eigentlichen Daten ziehen (im Advisory genauer erklärt).
| EOF wrote: | | Die verschlüsselte datei bleibt auf ewig unsicher, da "Quick Scans" darauf möglich sind. |
Eben nicht, Du kannst ja selbst entscheiden, welchem Programm Du Dein Passwort anvertraust.
Auch erwähnnswert:
| PGP Advisory wrote: | | Consequently, PGP Corporation, GnuPG, and Hush Communications are all disabling the quick check for all public key-encrypted messages and files. However, we are all presently leaving it in for symmetric (passphrase) encrypted messages and files because we believe the benefit of the quick check is greater than the security risk from it. You will see this change in the next software release from each group. |
Zumindest für den von EOF beschriebenen Fall wird sich also vorerst nichts ändern, wohl auch deshalb, da die im Advisory aufgeführten möglichen Exploits schon arg konstruiert wirken, bzw. sich leicht abwehren lassen.
Zu den Emails nur am Rande: Wenn ich mich recht erinnere werden die auch symmetrisch verschlüsselt, nur der Schlüssel wird dann asymmtrisch verschlüsselt. |
|
| Back to top |
|
|
l3u
Advocate
Joined: 26 Jan 2005
Posts: 2546
Location: Konradsreuth (Germany)
|
| Posted: Thu Feb 17, 2005 12:47 pm Post subject: |
|
|
@EOF: Sorry, das hatt ich tatsächlich falsch verstanden! Aber nichts für ungut ;-)
AFAIK funktioniert es bei eMails so, daß eine Hybrid-Verschlüsselung verwendet wird. Es wird ein ellenlanger Schlüssel generiert, der seinerseits mit RSA verschlüsselt wird. Mit dem Schlüssel wird die Mail symmetrisch verschlüsselt. Will man die Mail entschlüsseln, dann wird zunächst der symmetrische Schlüssel mit RSA und dem priivate Key entschlüsselt, mit dem wird dann wiederum die eMail entschlüsselt. Das wird glaub ich deshalb gemacht, weil es einfach ein viel zu großer Rechenaufwand wäre, alles mit RSA zu verschlüsseln. |
|
| Back to top |
|
|
|
|
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
|
|
Deutsches Forum (German) 
