Критическая уязвимость в системах шифрования email на основе PGP/GPG и S/MIME

14 мая 2018 года

Себастьян Шинцель ( Sebastian Schinzel), авторитетный немецкий эксперт по компьютерной безопасности (один из авторов атаки DROWN), предупредил о выявлении критических уязвимостей в системах шифрования почтовой переписки, основанных на использовании PGP/GPG и S/MIME. Проблемы позволяют определить исходный открытый текст шифрованных писем, в том числе отправленных ранее зашифрованных писем. В настоящее время доступно лишь общее предупреждение, детали будут раскрыты 15 мая в 7 утра (UTC). Проблемам присвоено имя Efail.

Правозащитная организация Electronic Frontier Foundation (EFF) подтвердила, что выявленные уязвимости относятся к разряду наиболее критических проблем и представляют серьёзных риск для пользователей шифрованных коммуникаций по электронной почте, особенно так как проблемы позволяют получить доступ к содержимому ранее отправленных зашифрованных сообщений.

Утверждается, что надёжно работающих исправлений проблем пока не существует, поэтому пользователям PGP/GPG и S/MIME предлагается отключить в почтовых клиентах инструменты, поддерживающие автоматическую расшифровку сообщений. До формирования исправлений пользователям предлагается временно прекратить использование PGP для отправки и приёма писем и воспользоваться альтернативными каналами обмена шифрованными сообщениями, такими как Signal. Инструкции по отключению PGP/GPG и S/MIME подготовлены для Thunderbird с Enigmail, Apple Mail c GPGTools и Outlook c Gpg4win.

Судя по отрывочным сведениям, уязвимости напрямую не затрагивают PGP/GPG и S/MIME, а проявляются в конечных решениях на базе данных систем для почтовых клиентов и связаны с функциями автоматической расшифровки. С другой стороны, среди исследователей, которые входят в команду, выявившую уязвимость, в основном представлены эксперты, специализирующиеся на криптографических алгоритмах.

Дополнение: Разработчики GnuPG успокоили пользователей, что проблема напрямую не касается GnuPG и Enigmail, а затрагивает методы использования PGP в почтовых клиентах. Дополнительно появилось пояснение, что проблема касается только писем, переданных в формате HTML, т.е. из которых могут выполняться обращения к внешним ресурсам.

Судя по всему, проблема связана с тем, что HTML может использоваться как канал для подстановки в письма заранее известных меток (oracle), например, через манипуляции с тегом "img". Из-за недоработок в MIME-парсерах почтовых клиентов наличие в тексте подобных меток приводят к объединению связанных с ними фрагментов с расшифрованными MIME-блоками. Данная особенность может применяться для организации атак на основе подобранного шифротекста.

В качестве мер защиты разработчики GnuPG предлагают использовать аутентифицированное шифрование, например, рекомендуется использовать поддерживаемый в GnuPG с 2002 года механизм MDC (Modification Detection Codes) для предотвращения подстановки сторонних данных в содержимое. Атака становится невозможной, если в почтовом клиенте корректно используется MDC или реализован правильный MIME-парсер. Общий вывод: уязвимость не затрагивает протокол OpenPGP и его реализацию GnuPG, а охватывает только отдельные почтовые клиенты, в которых некорректно организован процесс шифрования, загружается содержимое внешних ссылок в HTML-тексте и отсутствует проверка MDC.

Дополнение 2: Досрочно раскрыты подробности атаки (для уязвимости создан отдельный сайт efail.de). Описание деталей изложено в отдельной новости.