symlink.ch
Wissen Vernetzt - deutsche News für die Welt
 
symlink.ch
FAQ
Mission
Über uns
Richtlinien

Moderation
Einstellungen
Story einsenden

Suchen & Index
Ruhmeshalle
Statistiken
Umfragen

Redaktion
Themen
Partner
Planet

XML | RDF | RSS
PDA | WAP | IRC
Symbar für Opera
Symbar für Mozilla

Freunde
Benutzergruppen
LUG Switzerland
LUG Vorarlberg
LUGen in DE
SIUG
CCCZH
Organisationen
Wilhelm Tux
FSF Europe
Events
LinuxDay Dornbirn
BBA Schweiz
CoSin in Bremgarten AG
VCFe in München
Menschen
maol
Flupp
Ventilator
dawn
gumbo
krümelmonster
XTaran
maradong
tuxedo

 
Chosen-Ciphertext-Attacke gegen PGP/GnuPG
Veröffentlicht durch maol am Dienstag 13. August, 09:51
Aus der lass-schneien-mann Abteilung
Security XTaran schreibt "Slashdot und Yahoo! berichten von erfolgreichen Chosen-Ciphertext-Attacken gegen PGP und GnuPG. Da haben Kryptographie-Guru Bruce Schneier und Kollegen mal wieder ganze Arbeit geleistet."

"Allerdings schreiben Schneier et al im Abstract bereits: we show that the attacks largely fail when data is compressed before encryption. Und wie wir ja wissen, schicken zumindest die Unix-Varianten von PGP und GnuPG die zu verschlüsselnde Nachricht erst einmal durch die zlib. Trotzdem: Schön ist das nicht."

Biometrische Systeme taugen nicht für Überwachungsstaat | Druckausgabe | Solaris 9 doch wieder für x86?  >

 

 
symlink.ch Login
Login:

Passwort:

extrahierte Links
  • Slashdot
  • im Abstract
  • XTaran
  • Slashdot
  • Yahoo!
  • erfolgreichen Chosen-Ciphertext-Attacken
  • PGP
  • GnuPG
  • Bruce Schneier
  • Mehr zu Security
  • Auch von maol
  • Diese Diskussion wurde archiviert. Es können keine neuen Kommentare abgegeben werden.
    Ähm? (Score:1)
    Von brummfondel am Tuesday 13. August, 10:14 MES (#1)
    (User #784 Info)
    So ganz verstanden hab ichs nicht: wenn eine Mail beantwortet wird und der ursprüngliche Text mit drinsteht, kann dadurch die Verschlüsslung geknackt werden? Muß dazu die original Mail verschlüsselt vom Angreifen kommen oder reichen da die beiden vorbeikommenden Mails (Text und Antwort)? Was ist, wenn das Quote der Mail mit Quotezeichen versehen ist? Ist das dann schon nicht mehr möglich?
    --
    $ cd /dos/c/MICROSO~1
    $ rm -rf *
    Re:Ähm? (Score:3, Informativ)
    Von soltix am Tuesday 13. August, 11:29 MES (#2)
    (User #381 Info)
    Nein, um den Angriff auszufuehren schickt Dir der Angreifer eine vorher speziell erzeugte verschluesselte Nachricht. Wenn Du Sie entschluesselst siehst Du nur Garbage. Dann muss dich der Angreifer dazu bringen Dir diesen Datenmuell wieder zurueckzuschicken (so nach dem Motto "Das kam bei mir an... was soll das?").
    Mit diesen Daten ist es dem Angreifer dann moeglich eine Nachricht zu entziffern die er vorher zum erzeugen der ersten, speziellen Nachricht verwendet hat und die eigentlich nur fuer dich bestimmt war.
    Fuer den Angriff ist also "Human Interaction" notwendig.
    So hab ichs zumindest verstanden. ;)
    Re:Ähm? (Score:1)
    Von brummfondel am Tuesday 13. August, 11:47 MES (#3)
    (User #784 Info)
    Hm, versteh ich nur noch weniger. So hab ich das ja auch aus dem Text verstanden, aber wie bitte soll das überhaupt gehen? Das Key-Prinzip soll doch schon das ausschließen, egal, wie sicher oder nicht der Schlüssel selbst ist: Daten für mich werden mit meinem Key verschüsselt, Daten für jemand anderen mit dessen. Wie soll also jemand ein Text helfen, der mit seinem Key verschlüsselt wurde, meinen zu knacken?!

    --
    $ cd /dos/c/MICROSO~1
    $ rm -rf *
    Re: Ähm? (Score:2)
    Von XTaran (symlink at deuxchevaux dot org) am Tuesday 13. August, 12:34 MES (#5)
    (User #129 Info) http://abe.home.pages.de/
    In diesem Fall sieht die Attacke so aus, daß Du eine verschlüsselte Nachricht abfängst und auf eine bestimmte Art änderst. Dann schickst Du den geänderten Ciphertext weiter. Der Empfänger entschlüsselt ihn und bekommt nur Müll. Wenn Du nun diesen Müll in die Finger bekommst, dann hast Du die Möglichkeit, die ursprüngliche Nachricht zu lesen.

    Den Private Key bekommst Du damit aber nicht. Jedenfalls nicht mit der beschriebenen Attacke.
    -- 
    Einer der Gnutella-Klone heißt Gnutoka, und ich frag mich, wann Gnusspli rauskommt...

    Re: Ähm? (Score:1)
    Von XTaran (symlink at deuxchevaux dot org) am Tuesday 13. August, 12:38 MES (#7)
    (User #129 Info) http://abe.home.pages.de/
    Hupsi. Das ging wohl als Followup an den falschen Kommentar. Sollte eigentlich eine Erklärung zum ersten werden. *kopfschüttel*
    -- 
    Einer der Gnutella-Klone heißt Gnutoka, und ich frag mich, wann Gnusspli rauskommt...
    Re: Ähm? (Score:2)
    Von XTaran (symlink at deuxchevaux dot org) am Tuesday 13. August, 12:45 MES (#8)
    (User #129 Info) http://abe.home.pages.de/
    Nein, die Daten wurden mit Deinem Public Key verschlüsselt, was zu Folge hat, daß sie nur jemand entschlüsseln kann, der Deinen Private Key hat (was üblicherweise nur Du bist :-).

    Der Text wurde für Dich verschlüsselt und jemand anderes will diesen Text auch ohne Deinen Private Key lesen. Dazu läß er Dich was anderes (was er aus einer für Dich verschlüsselten Nachricht erzeugt) entschlüsseln und bekommt so Informationen, wie er die Nachricht auch ohne Deinen Schlüssel bekommt.

    Kurz gesagt: Du kennst das Diff zwischen zwei Ciphertexten und die eine dechiffrierte Nachricht. Damit kannst Du dann das Diff zwischen den beiden Nachrichten und damit die zweite Nachricht lesen. (Wobei das jetzt einfacher klingt, als es ist... :-)


    -- 
    Einer der Gnutella-Klone heißt Gnutoka, und ich frag mich, wann Gnusspli rauskommt...
    Re:Ähm? (Score:1)
    Von tr0nix am Tuesday 13. August, 12:03 MES (#4)
    (User #741 Info) http://www.secuserv.ch
    Also wenn ich das richtig verstehe schickst du ihm sch*isse welche er mit seinem Privat key entschluesselt. Beim zurueckschicken machst du dann nen Crypto-style-diff und kriegst seinen Privatkey raus?
    Re:Ähm? (Score:1)
    Von brummfondel am Tuesday 13. August, 12:37 MES (#6)
    (User #784 Info)
    Nah, das klingt aber wirklich seltsam. Mit anderen Worten: wenn ich einen Text (oder was auch immer, evtl. einen bestimmten Sch*iss) und eine verschlüsselte Variante davon habe, kann ich den Schlüssel bekommen?! Das mag ja bei symetrischen Keys auch möglich sein, aber sollten asymatrische nicht genau soetwas unmöglich machen? Wenn nicht, ist wohl gar kein Verschlüsseln sicher - da müßte man doch nur z.B. im HTTP etwas anfordern und per HTTPS die gleiche Daten nochmal und hätte den Key des Servers und könnte damit so richtig Unsinn machen?

    Klingt entweder böse gefährlich oder nach starkem Seemannsgarn.....
    --
    $ cd /dos/c/MICROSO~1
    $ rm -rf *
    Re:Ähm? (Score:2)
    Von XTaran (symlink at deuxchevaux dot org) am Tuesday 13. August, 12:48 MES (#9)
    (User #129 Info) http://abe.home.pages.de/
    Nein, Du brauchst zwei verschluesselte Nachrichten und zu der einen auch die entschluesselte Nachricht und kannst daraus auf die zweiten Nachricht schliessen. Das funktioniert allerdings nur mit ganz bestimmten konstruierten Ciphertexten, deswegen musst Du auch eine Nachricht abfangen und modifizieren. Zwei beliebige Ciphertexte helfen Dir wenig.
    -- 
    Einer der Gnutella-Klone heißt Gnutoka, und ich frag mich, wann Gnusspli rauskommt...
    Nichts (besonders) neues (Score:2)
    Von P2501 am Tuesday 13. August, 13:09 MES (#10)
    (User #31 Info) http://www.p2501.ch/

    Es ist bekannt, das assymetrische Verfahren gegen derartige Attacken verwundbar sind. Aus diesem Grund sollte man eine solche Verbindung auch immer in beide Richtungen verschlüsseln, und auf gar keinen Fall einen zuvor entschlüsselten Inhalt unverschlüsselt übermitteln. Ausserdem sollten beim Empang einer nicht entschlüsselbaren Datei eigentlich ohnehin alle Alarmleuchten angehen, denn es kann bedeuten, dass die Nachricht unterwegs manipuliert wurde.


    Re: Nichts (besonders) neues (Score:2)
    Von XTaran (symlink at deuxchevaux dot org) am Tuesday 13. August, 17:15 MES (#11)
    (User #129 Info) http://abe.home.pages.de/

    Ja, bekannt ist das schon lange. Neu ist (zumindest mir :-) aber, daß es jemand an PGP und GnuPG auch erfolgreich demonstriert hat. Und solange niemand so etwas zeigt, wird solche eine "bekannte Gefahr" von den Leute meistens nicht sehr ernst genommen und verdrängt.

    Heute wurde übrigens BugTraq ein Hinweis gepostet, daß PGP ab 7.0 und GnuPG ab 1.0.2 bereits die Möglichkeit haben, solche Manipulationen zu erkennen und davor zu warnen (sog. Manipulation Detection Code, MDC). Leider ist dieses Feature nicht abwärtskompatibel.


    -- 
    Einer der Gnutella-Klone heißt Gnutoka, und ich frag mich, wann Gnusspli rauskommt...

    Linux User Group Schweiz
    Durchsuche symlink.ch:  

    Never be led astray onto the path of virtue.
    trash.net

    Anfang | Story einsenden | ältere Features | alte Umfragen | FAQ | Autoren | Einstellungen