Подробности атаки на шифрование PGP и S/MIME в почтовых клиентах

Исслeдoвaтeли рaскрыли (PDF) дeтaли уязвимoсти в систeмax шифрoвaния элeктрoннoй пoчты, нe дoжидaясь нaмeчeннoгo врeмeни публикaции. В цeлoм, прeдпoлoжeния рaзрaбoтчикoв GnuGP oкaзaлись вeрными, a прeдупрeждeниe o критичнoсти слишкoм прeувeличeнными. Прeдлoжeнo неуд варианта MITM-атаки на почтовые клиенты с поддержкой HTML, которые механически загружают данные из внешних ресурсов (хоть бы, картинки и CSS). Первый вариант атаки производится путем модификацию транзитного сообщения, в которое подставляется воззвание к внешниму ресурсу при помощи тегов "img" не то — не то "style", подставляемых в незашифрованные части HTML-писем (MIME-заголовки). Обращающийся к внешнему хосту атакующего тег открывается впредь до начала шифрованного MIME-блока, а закрывается со временем него (см. пример ниже). Почтовый практика с проблемным MIME-парсером при открытии переписка дешифрует шифротекст, а затем разбирая HTML отправляет еще расшифрованный текст в составе подставленного атакующими тега. Закорючка проявляется только в почтовых клиентах, которые объединяют начинка всех MIME-частей multipart-сведения, смешивая шифрованные и незашифрованные части. За примером далеко ходить не нужно, такое поведение свойственно Apple Mail, iOS Mail и Thunderbird. Дальнейший вариант атаки отталкивается от уязвимостей в спецификациях S/MIME (CVE-2017-17689) и OpenPGP (CVE-2017-17688). В случае S/MIME атакующий может создать дешифровку нескольких email, отправив сознательно изменённое email-сообщение жертве. К PGP без поддержки MDC атаку совершить сложнее и успешной оказываются всего только треть попыток, так как передо шифрованием в PGP открытый текст сжимается. Не хуже кого и в первом варианте в сообщение вставляется HTML-тег, обращающийся к подконтрольному атакующему хосту. Предвидя открытый текст, в режиме CBC атакующий может выборочно исказить блоки. В большинстве случаев при использовании S/MIME в составе исходного текста присутствует пункт "Content-type: multipart/signed", т.е. атакующий сделано знает содержимое как минимум одного полного блока. После атакующий может сформировать блок, имеющий только нули. Пара из изначально известного блока и нулевого блока обозначается в качестве кого CBC-гаджет. В ходе атаки CBC-гаджет используется ради включения в состав зашифрованного текста данных атакующего. В крест от первого варианта таки, CBC-гаджет позволяет замонтировать img-тег атакующего непосредственно в состав зашифрованного текста и реализовать единую зашифрованную MIME-часть, содержание которой отправляется на внешний хост рядом разборе HTML после открытия корреспонденция пользователем. Для режима CFB, который применяется в OpenPGP, метода атаки аналогичен режиму CBC. Некоторые документация: Уязвимость связана с типовыми недоработками в отдельных почтовых клиентах. Второстепенный вариант атаки с PGP эффективен в Outlook 2007 с GPG4Win, Thunderbird с Enigmail, Apple Mail c GPGTools, Roundcube и до этого часа в 6 менее известных клиентах. Второй модификация атаки с S/MIME охватывает почти любое протестированные клиенты, за исключением Mutt и Claws Mail; На успешной атаки требуется контроль после трафиком или архивом сообщений жертвы (MITM, хакинг почтового сервера или захват учётной еженедельник). При наличии доступа к учётной еженедельник, атакующий может расшифровать ранее полученные пользователем зашифрованные сведения, путём их модификации и повторной отправки пользователю с применением одной с вышеизложенных атак. Реализации OpenPGP с MDC (GnuPG) проблеме малограмотный подвержены, если почтовый клиент учитывает шифр проверки MDC. В S/MIME (RFC 5751) поддержка аутентифицированного шифрования безграмотный предоставляется, что требует внесения изменений в спецификацию S/MIME ради устранения уязвимости. В OpenPGP (RFC 4880) уточнение предоставляет возможность аутентифицированного шифрования (MDC), которое позволяет обнаружить подмену CFB-блоков (поддержка MDC реализована в GnuPG в 2001 году, так при выводе через pipe с целью определения подмены требуется анализ стих возврата, что многие почтовые клиенты невыгодный делают). Источник: http://www.opennet.ru/opennews/art.shtml?num=48597