Reportage

Forsker efter EFAIL: Stol ikke på PGP-værktøjer til meget følsom kommunikation

16. maj 2018 kl. 06:319
Forsker efter EFAIL: Stol ikke på PGP-værktøjer til meget følsom kommunikation
Illustration: Macrovector/Bigstock.
Det største problem er S/MIME, men PGP-økosystemet er heller ikke til at stole på, mener krypteringsekspert Matt Green i lyset af EFAIL-sårbarhederne.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

Offentliggørelsen af det såkaldte EFAIL-angreb mod krypterede mails har vakt en del postyr.

Med professor ved Münster University of Applied Sciences Sebastian Schinzel i spidsen kunne en gruppe forskere forleden fortælle om flere sårbarheder relateret til mails krypteret via PGP og S/MIME. Sårbarhederne er nærmere forklaret på efail.de

I kølvandet på nyheden har forskerne blandt andet fået kritik for at hype EFAIL, og for et uansvarligt forløb omkring offentliggørelse af sårbarhederne.

Eksempelvis i form af dette tweet fra mailtjenesten ProtonMail:

Dette eksterne indhold er blokeret da du ikke har givet samtykke til markedsførings-cookies. For at se indholdet skal du opdatere dine cookie-indstillinger.

Artiklen fortsætter efter annoncen

Derudover har offentliggørelsen af EFAIL også affødt en debat, hvem der har skylden for, at angrebet kan lade sig gøre.

Inden vi når til, hvad denne diskussion drejer sig om, skal vi lige omkring en ganske kort opsummering af EFAIL.

EFAIL

Otte forskere er krediteret for kortlægningen af angrebsteknikkerne. Forskerne kommer fra tre universiteter: Damian Poddebniak, Christian Dresen, Fabian Ising og Sebastian Schinzel fra Münster University of Applied Sciences. Jens Müller, Juraj Somorovsky og Jörg Schwenk fra Ruhr University Bochum og Simon Friedberger fra KU Leuven.

Forskerne har påvist, at det på forskellig vis er muligt at manipulere mails krypteret via S/MIME og PGP på en måde, så en angriber i sidste ende kan få kendskab til fortroligt indhold. Altså i udgangspunktet en alvorlig sag.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

Det skal her bemærkes, at alle angrebsteknikkerne forudsætter, at en angriber har adgang til mails i krypteret format. Det ligger dog næsten i sagens natur, da eksempelvis PGP netop bliver brugt ud fra forudsætningen om, at uvedkommende kan have adgang til kommunikationen. Det kunne være via den mail-server, der bliver anvendt .

EFAIL dækker over flere angrebsteknikker. En af teknikkerne er relativt simpel og udnytter, at visse mail-klienter har håndteret indhold på en måde, så en angriber kan læse med i ellers krypteret indhold.

Altså en sårbarhed i disse klienter.

OpenPGP og GnuPG

OpenPGP er en open source-baseret standard for PGP-kryptering. PGP gør blandt andet muligt at signere og kryptere indhold.

GnuPG er et frit tilgængeligt software-projekt, der implementerer OpenPGP-standarden.
Kilde: Wikipedia mfl.


Men forskerne har også givet udtryk for, at de bagvedliggende standarder bør opdateres. Det vil sige henholdsvis OpenPGP og S/MIME.

GnuPG

Forskernes melding om, at om, at der skulle være plads til forbedring OpenPG standarden har vakt en del debat. S/MIME er en helt anden historie, som vi vender tilbage til.

Debatten handler egentlig ikke om selve krytperingsdelen - matematikken er såvidt vides solid nok. Kernen i debatten er mere en diskussion om workflow mellem forskellige værktøjer

Et centralt værktøj i den sammenhæng er GnuPG. Det er et software-projekt, der implementerer OpenPGP-standarden, og som andre systemer gør brug af. Eksempelvis mail-klienten Thunderbird, der via Enigmail-plugin'et og GnuPG håndterer PGP-indhold.

S/MIME

S/MIME er en krypteringsstandard, der er implementeret i flere mail-klienter, og som bruges til krypteret kommunikation.
Kilde: Wikipedia mfl.


Den tekniske rapport om EFAIL nævner eksplicit, GnuPG og Enigmail, som eksempler på software, der overholder OpenPGP-standarden, men som ifølge forskerne alligevel er sårbare overfor EFAIL.

I en pressemeddelelse fremgår det, at holdet bag GnuPG er uenig i den udlægning. GnuPG-folkene mener entydigt, at problemet er fejlfyldte mail-klienter - ikke OpenPGP-standarden eller GnuPG.

Argument for, hvorfor problemet i relation til EFAIL alene skulle ligge i mail-klienterne er, at der omkring år 2000 blev implementeret et check i OpenPGP og GnuPG, som kan opdage, hvis der bliver manipuleret med datapakker i eksempelvis en mail. (OpenPGP er ikke kun til mail kryptering.)

EFAIL-angrebet beror her 18 år senere på, at der i visse tilfælde faktisk alligevel kan manipuleres med datapakkerne, trods integritetstjekket.

MDC

Checket, der blev introduceret i PGP-standarden og i GnuPG omkring år 2000, hedder ganske sigende Modification Detection Code (MDC).

Artiklen fortsætter efter annoncen

Fejl i MDC-tjekket får GnuPG til at spytte en advarselsbesked ud. Denne besked er ikke nødvendigvis direkte synlig for brugeren, men kan eksempelvis bruges af et program, der anvender GnuPG-implementeringen af OpenPGP.

EFAIL lader sig gøre, netop fordi det er op til brugeren eller mailklient-softwaren at håndtere en eventuel MDC-fejl i PGP.

Eksempelvis kan mail-klienten vælge mere eller mindre at ignorere advarslen og vise så meget som muligt af den krypterede mail. Et alternativ kunne være slet ikke at vise noget indhold ved MDC-fejl og give brugeren besked om, at der er noget galt med integriteten af indholdet.

Endnu et alternativ kunne være, at GnuPG ved MDC-fejl ikke nøjedes med en advarsel, men helt droppede at behandle det krypterede indhold, som så aldrig ville nå til eksempelvis Thunderbird.
Hovedforfatten til GnuPG Werner Koch forklarer her, hvorfor programmet har givet en advarsel i stedet for helt at afvise indhold ved problemer med MDC.

Kochs begrundelse handler kort fortalt om, at visse OpenPGP-implementeringer var sene til at understøtte MDC, så af kompatibilitetshensyn bliver indhold med MDC-problemer ikke bare skrottet. I stedet kommer GnuPG med en advarsel, som brugere eller andet software så kan håndtere.

Forskerne har testet en stribe mailklienter i forhold til EFAIL. Kilde: efail.de

Eller lade være med at håndtere. Forskerne har nemlig analyseret en stribe mailklienter og fundet frem til, at de håndterer MDC-fejl forskelligt. Nogle klienter viser eksempelvis indholdet af mails, selvom MDC fejler.

Og det har forskerne udnyttet til at snige manipuleret indhold ind i mailklienten, hvilket har gjort det muligt at trække potentielt følsomme data ud af programmet.

Standarden

Årsagen til det problem hænger ifølge forskerne sammen med OpenPGP-standarden.

Standarden får i EFAIL-rapporten kritik for at være for vag i forhold til, hvordan MDC-fejl skal håndteres.

Der står eksempelvis, at MDC-fejl SKAL behandles som et sikkerhedsproblem, som BØR rapporteres til brugeren.

Standarden går ikke umiddelbart i nærmere detaljer med, hvad der ligger i at behandle MDC-fejlene som et 'sikkerhedsproblem', ligesom det altså tilsyneladende heller ikke er obligatorisk at informere brugeren i den forbindelse.

Her vil nogen anføre, at klientsoftware, eksempelvis et mailprogram, der uden videre dikkedarer viser indhold på trods af fejl i et integritet-tjek ikke er videre smart skruet sammen. Disse fejl SKAL jo behandles som et sikkerhedsproblem, jævnfør standarden.

Men forskerne mener altså, at standarden bør forbedres, og at den vage definition i forhold til MDC-håndtering bærer en del af skylden for, hvorfor diverse mail-klienter har vist sig sårbare overfor EFAIL.

Jævnfør en tabel i rapporten har forskerne undersøgt en række mailklienter. I den forbindelse fremgår det, at det ved PGP er muligt via angrebet at trække data ud af blandt andet Outlook 2017, Thunderbird og Apple Mail, selvom MDC-tjekket har fejlet.

Det lyder måske slemt, det står dog langt værre til, hvad S/MIME-standarden angår.

Ekspert: S/MIME er i stykker

Her er forskernes liste over sårbare mail-klienter nemlig meget længere. Forklaringen er ifølge forskerne, at S/MIME slet ikke indeholder tiltag, der kan modvirke et EFAIL-angreb. Altså ikke som med MDC i OpenPGP.

Matthew D. Green er adjunkt(eng. assistant professor) ved Johns Hopkins Universitetet i den amerikanske delstat Maryland. Han forsker i kryptering.

Da detaljerne om EFAIL-angrebet kom frem mandag i denne uge, kommenterede han det via flere Twitter-beskeder. Her rettede han umiddelbart en anklagende finger mod GnuPG for at have overladt det til klienterne at håndtere forsvarsmekanismen mod et angreb som EFAIL.

Dette eksterne indhold er blokeret da du ikke har givet samtykke til markedsførings-cookies. For at se indholdet skal du opdatere dine cookie-indstillinger.

I en mail til Version2 uddyber Green sine Twitter-betragtninger i forhold til EFAIL.

Han starter med at understrege, at det mest væsentlige ved EFAIL-sårbarhederne ikke er OpenPGP, men usikkerheden ved S/MIME, som forskerne har påvist.

»Den protokol bliver brugt af et stort antal virksomheder til håndtering af fortrolige mails. Det faktum, at den protokol - og Microsoft Outlook - er i stykker, er en stor ting.«

S/MIME bruges blandt andet til kryptering af mail i virksomhedssammenhæng og er indbygget i Microsofts Outlook.

Green nævner i den forbindelse, at der har været adskillige læk hos forsvarsvirksomheder i USA. Underforstået: Det hænger måske sammen med S/MIME-sårbarheden, som kortlagt i EFAIL.

»Det er et meget stort problem, at vores 'hoved' virksomhedsmail-krypteringsprotokol er så svag.«

Green: PGP mangler lederskab

Hvad PGP angår, så giver Green udtryk for, at han ikke synes, det er så interessant at placere et ansvar for problemet.

»Faktum er, at EFAIL er en meget alvorlig fejl, som eksisterer på tværs at et stort antal mail-klienter. Den (EFAIL, red.) muliggør total dekryptering af mail-beskeder, noget som absolut ikke burde være muligt i 2018.«

Green peger på, at fejlene, der ligger til grund for EFAIL, har været kendt siden omkring år 2000-2001. Altså omkring det tidspunkt, hvor MDC blev indført i standarden og i GnuPG, om ekstra beskyttelse.

»Det faktum, at dette sker i så mange forskellige mail-klienter indikerer overfor mig, at PGP-værktøjs-udvikler-communitiet ikke forfølger kryptografisk sikkerhed i den udstrækning, der er nødvendig for et seriøst krypteringsværktøj.«

Ifølge Green, så er hovedårsagen til, at EFAIL i dag er et problem for PGP, manglende lederskab af communitiet.

»Lederskab i denne forstand vil sige, nogen som er i en position til at influere, hvem der arbejder på diverse projekter, og hvem der bruger og kommunikerer med andre udviklere i dette rum.«

Sådan en leder vil ifølge Green også reagere på, når klienter gør tingene forkert. Altså eksempelvis hvis klient-software gladeligt viser mail-indhold til trods for MDC-fejl.

Her fremhæver Green TLS-kryptering, som et open source-projekt, der er bedre styr på end PGP.

Green: Stoler foreløbigt ikke på PGP-værktøjer

Et naturligt sted at placere lederskabet for PGP ville ifølge Green være hos GnuPG, da mange systemer anvender dette software.

»Men lederne af GnuPG projektet har hovedsageligt besluttet sig for, at dette er nogle andres problem. Og det har de tydeliggjort via den måde, hvorpå de reagerede på EFAIL,« skriver Green med henvisning til, at GnuPG har givet udtryk for, at problemet alene ligger hos fejlfyldte mail-klienterne.

Indtil der kommer styr på lederskabet i forhold til PGP, så har Green følgende formaning.

»Pas særdeles godt på med at bruge dette økosystem,« skriver Green.

Han mener, det er op til brugerne selv at undersøge, hvorvidt diverse PGP-værktøjer fungerer - også i kommunikationen med hinanden - da ingen andre gør det.

Og det er i den forbindelse ikke nok at få styr på egne værktøjer, det er også nødvendigt at være sikker på, den eller dem man vil kommunikere med, har styr på deres værktøjer.

»Så - indtil dette grundlæggende ændrer sig - så ville jeg ikke stole på PGP-økosystemet til ekstremt følsom kommunikation.«

Efter Matt Green sendte mailen med sine betragtninger til Version2, har han lagt samme svar på Twitter, hvor det kan læses i sin helhed og på originalsproget.

Dette eksterne indhold er blokeret da du ikke har givet samtykke til markedsførings-cookies. For at se indholdet skal du opdatere dine cookie-indstillinger.

Emner
9 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
9
Peter Makholm
16. maj 2018 kl. 10:17

Det er egentligt lidt tankevækkende og lærerigt at overvejer hvorfor OpenPGP bliver fremhævet i denne historie.

En del af det handler om dårlig kommunikation. Vi har ikke et godt og entydigt navn for "OpenPGP messages embedded in a MIME structure". Så når vi rent faktisk taler om "OpenPGP messages embedded in a MIME structure", så bliver det bare forenklet til OpenPGP og kædet sammen med GnuPG som en af de vigtigtste implementationer. I gamle dage kunne vi tale om PGP/MIME (til forskel fra Application/PGP eller bare at bruge ascii armor-beskeder) men også det blev bare slidt ned til PGP.

På den anden side, så har vi et godt og mundret navn for "PKCS#7 messages embedded in a MIME structure" – det hedder "S/MIME". Tilgengæld er der mange brugere af S/MIME der rent faktisk ikke har hørt om S/MIME, fordi de kender det under produktnavnet "Sikker mail med NemID" og derfor ikek kæder S/MIME samme med noget der er relevant for deres hverdag.

  • more_vert
    • insert_linkKopier link
8
Peter Makholm
16. maj 2018 kl. 10:05

Som jeg ser det, kan man vel ikke sige at PGP er i stykker, når der er mailklienter som håndterer MDC korrekt.

Det er efter min mening korrekt at sige at GnuPG ikke er i stykker, men det ville have pyntet noget på historien hvis udviklerne bag GnuPG havde skrevet noget ala "Ja, vi burde nok have gjort det til en fatal fejl nogle år efter vi introducerede fejlmeddelsen (det vil sige at fejlen skulle have været fatal i mindst 10 år nu)".

Så igen ige. Historien er dårligt spin fra EFF's side, hvilket har provokeret GnuPG projektet i en grad så de er gået i forsvarsmode.

  • more_vert
    • insert_linkKopier link
5
Jakob Møllerhøj
16. maj 2018 kl. 09:33

Og så er det at jeg tænker - hvad er det lige, at "NemID sikker email" baserer sig på? Og her tænker jeg ikke på den underlige bastard som hverken er en webmail eller et dokumenthåndteringssystem eller en fildelingsplatform, men derimod på den "integration" de tilbyder med f.eks. Outlook. Er det ikke S/MIME?

Hej Bjarne,

Vi kommer til at kigge selvstændigt på S/MIME, netop af de grunde, du nævner. Yderligere gode idéer og input i den forbindelse er mere end velkomne, både her i debatten og på jak@version2.dk (som understøtter PGP) Jakob - V2

  • more_vert
    • insert_linkKopier link
4
Simon Mikkelsen
16. maj 2018 kl. 09:01

Det burde ikke komme som nogen overraskelse at der faktisk ikke er et problem med PGP værktøjer umiddelbart, ihvertfald ikke hvis man bruger GPG og en Email klient der korrekt understøtter dette.

Der er ingen tvivl om at mailklienterne ikke har lavet deres implementering korrekt. Men det har heller ikke været nemt for dem. En fejl af denne type burde ikke være en warning man skal huske at lave en separat håndtering af. Det burde være en error som nægter at udlever klartekst.

Fejlen kunne være forhindret med passende foranstaltninger i nogle få værktøjer, frem for at satse på at 128 forskellige folk der laver mailprogrammer (og i øvrigt ikke er eksperter i kryptografi) husker at håndtere en warning rigtigt.

Men frem for at pege fingre synes jeg det er vigtigst at dem som laver kryptografiske værktøjer får rettet fejlen og lærer af den: Udviklere har også brug for brugervenlighed og man bør lave softwaren så det er sværest muligt at ødelægge den - frem for her hvor det var nemt. Inden for kryptografi er det netop oftest implementeringerne og ikke selve algoritmerne der er årsag til huller.

  • more_vert
    • insert_linkKopier link
3
Kenn Nielsen
16. maj 2018 kl. 08:48

Først: TAK for en informativ artikel !

Som jeg ser det, kan man vel ikke sige at PGP er i stykker, når der er mailklienter som håndterer MDC korrekt.

Men det er en valid pointe at råbe op om at PGP implementeringerne i diverse mailprogrammer sutter.

Det virker bare lidt som om dette nu skal bruges til at få indsat "ansvarlige" og "styrende" 'organer' i PGP. Jeg ser allerede NIST & Co siddende klar til at påvirke PGP.... Men selv uden sølvpapir på sikkerhedsbrillerne, er det vel ønskværdigt at der ikke er een 'kalif' i et sikkerhedsprojekt.?.

Det er bare lidt som med NET's NETS-sag, der blev til tys-tys-Se&Hør-sagen; hér er det bare PGP og ikke mailklienterne som udråbes til 'skurk'.

At f.eks. thunderbird glimrer ved fejl, kommer ikke bag på mig. Hvorfor prøver den - pinedød - at logge på en server på internettet med mit brugernavn/password, 'bare hvis nu jeg mente det er dér jeg har en eksisterende konto'. Det kan da kun være for at høste til en regnbuetabel.

Hrmpf!

K

  • more_vert
    • insert_linkKopier link
2
Steffen Rytter Postas
16. maj 2018 kl. 08:18

Det burde ikke komme som nogen overraskelse at der faktisk ikke er et problem med PGP værktøjer umiddelbart, ihvertfald ikke hvis man bruger GPG og en Email klient der korrekt understøtter dette.

I deres egen officielle "press release" skriver de blandt andet:

We have three things to say, and then we're going to show you
why we're right.</p>
<ol><li>This paper is misnamed.</li>
<li>This attack targets buggy email clients.</li>
<li>The authors made a list of buggy email clients.

Den fulde udgivelse kan læses her: https://lists.gnupg.org/pipermail/gnupg-users/2018-May/060334.html

Problemet ligger i at nogle dårlige email klienter ikke læser advarsler som eksempelvis

  1.     gpg: WARNING: message was not integrity protected
  2.     [GNUPG:] DECRYPTION_FAILED
  3.     [GNUPG:] END_DECRYPTION

men istedet blot viser beskeden alligevel.

  • more_vert
    • insert_linkKopier link
1
Bjarne Nielsen
16. maj 2018 kl. 07:24

Nu bruges der megen tid på PGP, og det er fint, for dels er der plads til forbedring, dels er det i høj grad et spørgsmål om at få gjort arbejdet færdigt. Flot redegørelse for nuancerne, problemerne og udfordringerne.

Men S/MIME er i en helt anden kategori, og det er jo i høj grad det offentliges og virksomhedernes foretrukne måde at lave sikker e-mail på. Lad mig citere fra artiklen:

Forklaringen er ifølge forskerne, at S/MIME slet ikke indeholder tiltag, der kan modvirke et EFAIL-angreb.

Eller på jævnt dansk, hvor PGP skal tage sig alvorligt sammen, så er S/MIME broken!

Og så er det at jeg tænker - hvad er det lige, at "NemID sikker email" baserer sig på? Og her tænker jeg ikke på den underlige bastard som hverken er en webmail eller et dokumenthåndteringssystem eller en fildelingsplatform, men derimod på den "integration" de tilbyder med f.eks. Outlook. Er det ikke S/MIME?

  • more_vert
    • insert_linkKopier link