Forsker efter EFAIL: Stol ikke på PGP-værktøjer til meget følsom kommunikation

Illustration: Macrovector/Bigstock
Det største problem er S/MIME, men PGP-økosystemet er heller ikke til at stole på, mener krypteringsekspert Matt Green i lyset af EFAIL-sårbarhederne.

Offentliggørelsen af det såkaldte EFAIL-angreb mod krypterede mails har vakt en del postyr.

Med professor ved Münster University of Applied Sciences Sebastian Schinzel i spidsen kunne en gruppe forskere forleden fortælle om flere sårbarheder relateret til mails krypteret via PGP og S/MIME. Sårbarhederne er nærmere forklaret på efail.de

I kølvandet på nyheden har forskerne blandt andet fået kritik for at hype EFAIL, og for et uansvarligt forløb omkring offentliggørelse af sårbarhederne.

Eksempelvis i form af dette tweet fra mailtjenesten ProtonMail:

Derudover har offentliggørelsen af EFAIL også affødt en debat, hvem der har skylden for, at angrebet kan lade sig gøre.

Inden vi når til, hvad denne diskussion drejer sig om, skal vi lige omkring en ganske kort opsummering af EFAIL.

EFAIL

Otte forskere er krediteret for kortlægningen af angrebsteknikkerne. Forskerne kommer fra tre universiteter: Damian Poddebniak, Christian Dresen, Fabian Ising og Sebastian Schinzel fra Münster University of Applied Sciences. Jens Müller, Juraj Somorovsky og Jörg Schwenk fra Ruhr University Bochum og Simon Friedberger fra KU Leuven.

Forskerne har påvist, at det på forskellig vis er muligt at manipulere mails krypteret via S/MIME og PGP på en måde, så en angriber i sidste ende kan få kendskab til fortroligt indhold. Altså i udgangspunktet en alvorlig sag.

Det skal her bemærkes, at alle angrebsteknikkerne forudsætter, at en angriber har adgang til mails i krypteret format. Det ligger dog næsten i sagens natur, da eksempelvis PGP netop bliver brugt ud fra forudsætningen om, at uvedkommende kan have adgang til kommunikationen. Det kunne være via den mail-server, der bliver anvendt .

EFAIL dækker over flere angrebsteknikker. En af teknikkerne er relativt simpel og udnytter, at visse mail-klienter har håndteret indhold på en måde, så en angriber kan læse med i ellers krypteret indhold.

Altså en sårbarhed i disse klienter.

Men forskerne har også givet udtryk for, at de bagvedliggende standarder bør opdateres. Det vil sige henholdsvis OpenPGP og S/MIME.

GnuPG

Forskernes melding om, at om, at der skulle være plads til forbedring OpenPG standarden har vakt en del debat. S/MIME er en helt anden historie, som vi vender tilbage til.

Debatten handler egentlig ikke om selve krytperingsdelen - matematikken er såvidt vides solid nok. Kernen i debatten er mere en diskussion om workflow mellem forskellige værktøjer

Et centralt værktøj i den sammenhæng er GnuPG. Det er et software-projekt, der implementerer OpenPGP-standarden, og som andre systemer gør brug af. Eksempelvis mail-klienten Thunderbird, der via Enigmail-plugin'et og GnuPG håndterer PGP-indhold.

Den tekniske rapport om EFAIL nævner eksplicit, GnuPG og Enigmail, som eksempler på software, der overholder OpenPGP-standarden, men som ifølge forskerne alligevel er sårbare overfor EFAIL.

I en pressemeddelelse fremgår det, at holdet bag GnuPG er uenig i den udlægning. GnuPG-folkene mener entydigt, at problemet er fejlfyldte mail-klienter - ikke OpenPGP-standarden eller GnuPG.

Argument for, hvorfor problemet i relation til EFAIL alene skulle ligge i mail-klienterne er, at der omkring år 2000 blev implementeret et check i OpenPGP og GnuPG, som kan opdage, hvis der bliver manipuleret med datapakker i eksempelvis en mail. (OpenPGP er ikke kun til mail kryptering.)

EFAIL-angrebet beror her 18 år senere på, at der i visse tilfælde faktisk alligevel kan manipuleres med datapakkerne, trods integritetstjekket.

MDC

Checket, der blev introduceret i PGP-standarden og i GnuPG omkring år 2000, hedder ganske sigende Modification Detection Code (MDC).

Fejl i MDC-tjekket får GnuPG til at spytte en advarselsbesked ud. Denne besked er ikke nødvendigvis direkte synlig for brugeren, men kan eksempelvis bruges af et program, der anvender GnuPG-implementeringen af OpenPGP.

EFAIL lader sig gøre, netop fordi det er op til brugeren eller mailklient-softwaren at håndtere en eventuel MDC-fejl i PGP.

Eksempelvis kan mail-klienten vælge mere eller mindre at ignorere advarslen og vise så meget som muligt af den krypterede mail. Et alternativ kunne være slet ikke at vise noget indhold ved MDC-fejl og give brugeren besked om, at der er noget galt med integriteten af indholdet.

Endnu et alternativ kunne være, at GnuPG ved MDC-fejl ikke nøjedes med en advarsel, men helt droppede at behandle det krypterede indhold, som så aldrig ville nå til eksempelvis Thunderbird.
Hovedforfatten til GnuPG Werner Koch forklarer her, hvorfor programmet har givet en advarsel i stedet for helt at afvise indhold ved problemer med MDC.

Kochs begrundelse handler kort fortalt om, at visse OpenPGP-implementeringer var sene til at understøtte MDC, så af kompatibilitetshensyn bliver indhold med MDC-problemer ikke bare skrottet. I stedet kommer GnuPG med en advarsel, som brugere eller andet software så kan håndtere.

Forskerne har testet en stribe mailklienter i forhold til EFAIL. Kilde: efail.de Illustration: efail.de

Eller lade være med at håndtere. Forskerne har nemlig analyseret en stribe mailklienter og fundet frem til, at de håndterer MDC-fejl forskelligt. Nogle klienter viser eksempelvis indholdet af mails, selvom MDC fejler.

Og det har forskerne udnyttet til at snige manipuleret indhold ind i mailklienten, hvilket har gjort det muligt at trække potentielt følsomme data ud af programmet.

Standarden

Årsagen til det problem hænger ifølge forskerne sammen med OpenPGP-standarden.

Standarden får i EFAIL-rapporten kritik for at være for vag i forhold til, hvordan MDC-fejl skal håndteres.

Der står eksempelvis, at MDC-fejl SKAL behandles som et sikkerhedsproblem, som BØR rapporteres til brugeren.

Standarden går ikke umiddelbart i nærmere detaljer med, hvad der ligger i at behandle MDC-fejlene som et 'sikkerhedsproblem', ligesom det altså tilsyneladende heller ikke er obligatorisk at informere brugeren i den forbindelse.

Her vil nogen anføre, at klientsoftware, eksempelvis et mailprogram, der uden videre dikkedarer viser indhold på trods af fejl i et integritet-tjek ikke er videre smart skruet sammen. Disse fejl SKAL jo behandles som et sikkerhedsproblem, jævnfør standarden.

Men forskerne mener altså, at standarden bør forbedres, og at den vage definition i forhold til MDC-håndtering bærer en del af skylden for, hvorfor diverse mail-klienter har vist sig sårbare overfor EFAIL.

Jævnfør en tabel i rapporten har forskerne undersøgt en række mailklienter. I den forbindelse fremgår det, at det ved PGP er muligt via angrebet at trække data ud af blandt andet Outlook 2017, Thunderbird og Apple Mail, selvom MDC-tjekket har fejlet.

Det lyder måske slemt, det står dog langt værre til, hvad S/MIME-standarden angår.

Ekspert: S/MIME er i stykker

Her er forskernes liste over sårbare mail-klienter nemlig meget længere. Forklaringen er ifølge forskerne, at S/MIME slet ikke indeholder tiltag, der kan modvirke et EFAIL-angreb. Altså ikke som med MDC i OpenPGP.

Matthew D. Green er adjunkt(eng. assistant professor) ved Johns Hopkins Universitetet i den amerikanske delstat Maryland. Han forsker i kryptering.

Da detaljerne om EFAIL-angrebet kom frem mandag i denne uge, kommenterede han det via flere Twitter-beskeder. Her rettede han umiddelbart en anklagende finger mod GnuPG for at have overladt det til klienterne at håndtere forsvarsmekanismen mod et angreb som EFAIL.

I en mail til Version2 uddyber Green sine Twitter-betragtninger i forhold til EFAIL.

Han starter med at understrege, at det mest væsentlige ved EFAIL-sårbarhederne ikke er OpenPGP, men usikkerheden ved S/MIME, som forskerne har påvist.

»Den protokol bliver brugt af et stort antal virksomheder til håndtering af fortrolige mails. Det faktum, at den protokol - og Microsoft Outlook - er i stykker, er en stor ting.«

S/MIME bruges blandt andet til kryptering af mail i virksomhedssammenhæng og er indbygget i Microsofts Outlook.

Green nævner i den forbindelse, at der har været adskillige læk hos forsvarsvirksomheder i USA. Underforstået: Det hænger måske sammen med S/MIME-sårbarheden, som kortlagt i EFAIL.

»Det er et meget stort problem, at vores 'hoved' virksomhedsmail-krypteringsprotokol er så svag.«

Green: PGP mangler lederskab

Hvad PGP angår, så giver Green udtryk for, at han ikke synes, det er så interessant at placere et ansvar for problemet.

»Faktum er, at EFAIL er en meget alvorlig fejl, som eksisterer på tværs at et stort antal mail-klienter. Den (EFAIL, red.) muliggør total dekryptering af mail-beskeder, noget som absolut ikke burde være muligt i 2018.«

Green peger på, at fejlene, der ligger til grund for EFAIL, har været kendt siden omkring år 2000-2001. Altså omkring det tidspunkt, hvor MDC blev indført i standarden og i GnuPG, om ekstra beskyttelse.

»Det faktum, at dette sker i så mange forskellige mail-klienter indikerer overfor mig, at PGP-værktøjs-udvikler-communitiet ikke forfølger kryptografisk sikkerhed i den udstrækning, der er nødvendig for et seriøst krypteringsværktøj.«

Ifølge Green, så er hovedårsagen til, at EFAIL i dag er et problem for PGP, manglende lederskab af communitiet.

»Lederskab i denne forstand vil sige, nogen som er i en position til at influere, hvem der arbejder på diverse projekter, og hvem der bruger og kommunikerer med andre udviklere i dette rum.«

Sådan en leder vil ifølge Green også reagere på, når klienter gør tingene forkert. Altså eksempelvis hvis klient-software gladeligt viser mail-indhold til trods for MDC-fejl.

Her fremhæver Green TLS-kryptering, som et open source-projekt, der er bedre styr på end PGP.

Green: Stoler foreløbigt ikke på PGP-værktøjer

Et naturligt sted at placere lederskabet for PGP ville ifølge Green være hos GnuPG, da mange systemer anvender dette software.

»Men lederne af GnuPG projektet har hovedsageligt besluttet sig for, at dette er nogle andres problem. Og det har de tydeliggjort via den måde, hvorpå de reagerede på EFAIL,« skriver Green med henvisning til, at GnuPG har givet udtryk for, at problemet alene ligger hos fejlfyldte mail-klienterne.

Indtil der kommer styr på lederskabet i forhold til PGP, så har Green følgende formaning.

»Pas særdeles godt på med at bruge dette økosystem,« skriver Green.

Han mener, det er op til brugerne selv at undersøge, hvorvidt diverse PGP-værktøjer fungerer - også i kommunikationen med hinanden - da ingen andre gør det.

Og det er i den forbindelse ikke nok at få styr på egne værktøjer, det er også nødvendigt at være sikker på, den eller dem man vil kommunikere med, har styr på deres værktøjer.

»Så - indtil dette grundlæggende ændrer sig - så ville jeg ikke stole på PGP-økosystemet til ekstremt følsom kommunikation.«

Efter Matt Green sendte mailen med sine betragtninger til Version2, har han lagt samme svar på Twitter, hvor det kan læses i sin helhed og på originalsproget.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (9)
Bjarne Nielsen

Nu bruges der megen tid på PGP, og det er fint, for dels er der plads til forbedring, dels er det i høj grad et spørgsmål om at få gjort arbejdet færdigt. Flot redegørelse for nuancerne, problemerne og udfordringerne.

Men S/MIME er i en helt anden kategori, og det er jo i høj grad det offentliges og virksomhedernes foretrukne måde at lave sikker e-mail på. Lad mig citere fra artiklen:

Forklaringen er ifølge forskerne, at S/MIME slet ikke indeholder tiltag, der kan modvirke et EFAIL-angreb.

Eller på jævnt dansk, hvor PGP skal tage sig alvorligt sammen, så er S/MIME broken!

Og så er det at jeg tænker - hvad er det lige, at "NemID sikker email" baserer sig på? Og her tænker jeg ikke på den underlige bastard som hverken er en webmail eller et dokumenthåndteringssystem eller en fildelingsplatform, men derimod på den "integration" de tilbyder med f.eks. Outlook. Er det ikke S/MIME?

Steffen Postas

Det burde ikke komme som nogen overraskelse at der faktisk ikke er et problem med PGP værktøjer umiddelbart, ihvertfald ikke hvis man bruger GPG og en Email klient der korrekt understøtter dette.

I deres egen officielle "press release" skriver de blandt andet:

We have three things to say, and then we're going to show you
why we're right.

  1. This paper is misnamed.
  2. This attack targets buggy email clients.
  3. The authors made a list of buggy email clients.

Den fulde udgivelse kan læses her: https://lists.gnupg.org/pipermail/gnupg-users/2018-May/060334.html

Problemet ligger i at nogle dårlige email klienter ikke læser advarsler som eksempelvis

    gpg: WARNING: message was not integrity protected  
    [GNUPG:] DECRYPTION_FAILED  
    [GNUPG:] END_DECRYPTION

men istedet blot viser beskeden alligevel.

Kenn Nielsen

Først: TAK for en informativ artikel !

Som jeg ser det, kan man vel ikke sige at PGP er i stykker, når der er mailklienter som håndterer MDC korrekt.

Men det er en valid pointe at råbe op om at PGP implementeringerne i diverse mailprogrammer sutter.

Det virker bare lidt som om dette nu skal bruges til at få indsat "ansvarlige" og "styrende" 'organer' i PGP.
Jeg ser allerede NIST & Co siddende klar til at påvirke PGP....
Men selv uden sølvpapir på sikkerhedsbrillerne, er det vel ønskværdigt at der ikke er een 'kalif' i et sikkerhedsprojekt.?.

Det er bare lidt som med NET's NETS-sag, der blev til tys-tys-Se&Hør-sagen; hér er det bare PGP og ikke mailklienterne som udråbes til 'skurk'.

At f.eks. thunderbird glimrer ved fejl, kommer ikke bag på mig.
Hvorfor prøver den - pinedød - at logge på en server på internettet med mit brugernavn/password, 'bare hvis nu jeg mente det er dér jeg har en eksisterende konto'.
Det kan da kun være for at høste til en regnbuetabel.

Hrmpf!

K

Simon Mikkelsen

Det burde ikke komme som nogen overraskelse at der faktisk ikke er et problem med PGP værktøjer umiddelbart, ihvertfald ikke hvis man bruger GPG og en Email klient der korrekt understøtter dette.

Der er ingen tvivl om at mailklienterne ikke har lavet deres implementering korrekt. Men det har heller ikke været nemt for dem. En fejl af denne type burde ikke være en warning man skal huske at lave en separat håndtering af. Det burde være en error som nægter at udlever klartekst.

Fejlen kunne være forhindret med passende foranstaltninger i nogle få værktøjer, frem for at satse på at 128 forskellige folk der laver mailprogrammer (og i øvrigt ikke er eksperter i kryptografi) husker at håndtere en warning rigtigt.

Men frem for at pege fingre synes jeg det er vigtigst at dem som laver kryptografiske værktøjer får rettet fejlen og lærer af den: Udviklere har også brug for brugervenlighed og man bør lave softwaren så det er sværest muligt at ødelægge den - frem for her hvor det var nemt. Inden for kryptografi er det netop oftest implementeringerne og ikke selve algoritmerne der er årsag til huller.

Jakob Møllerhøj Journalist
Peter Makholm Blogger

Som jeg ser det, kan man vel ikke sige at PGP er i stykker, når der er mailklienter som håndterer MDC korrekt.

Det er efter min mening korrekt at sige at GnuPG ikke er i stykker, men det ville have pyntet noget på historien hvis udviklerne bag GnuPG havde skrevet noget ala "Ja, vi burde nok have gjort det til en fatal fejl nogle år efter vi introducerede fejlmeddelsen (det vil sige at fejlen skulle have været fatal i mindst 10 år nu)".

Så igen ige. Historien er dårligt spin fra EFF's side, hvilket har provokeret GnuPG projektet i en grad så de er gået i forsvarsmode.

Peter Makholm Blogger

Det er egentligt lidt tankevækkende og lærerigt at overvejer hvorfor OpenPGP bliver fremhævet i denne historie.

En del af det handler om dårlig kommunikation. Vi har ikke et godt og entydigt navn for "OpenPGP messages embedded in a MIME structure". Så når vi rent faktisk taler om "OpenPGP messages embedded in a MIME structure", så bliver det bare forenklet til OpenPGP og kædet sammen med GnuPG som en af de vigtigtste implementationer. I gamle dage kunne vi tale om PGP/MIME (til forskel fra Application/PGP eller bare at bruge ascii armor-beskeder) men også det blev bare slidt ned til PGP.

På den anden side, så har vi et godt og mundret navn for "PKCS#7 messages embedded in a MIME structure" – det hedder "S/MIME". Tilgengæld er der mange brugere af S/MIME der rent faktisk ikke har hørt om S/MIME, fordi de kender det under produktnavnet "Sikker mail med NemID" og derfor ikek kæder S/MIME samme med noget der er relevant for deres hverdag.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017