Poważny błąd w GPG

Popularna aplikacja kryptograficzna GNU Privacy Guard ma błąd, który może powodować poprawną weryfikację podpisu elektronicznego pod sfałszowanymi danymi.

Problem dotyczy wszystkich wersji GPG do 1.4.2.2, która jest załatana. Wszyscy użytkownicy GPG powinni zainstalować zaktualizowaną wersję.

Błąd został wykryty w kodzie, który odpowiada za weryfikację podpisów elektronicznych. GPG nie w pełni skutecznie weryfikuje kolejność pakietów w podpisanym bloku danych, co może posłużyć do wstawienia obcego pakietu. Przejdzie on poprawnie przez weryfikację podpisu, pomimo że nie znajdował się w oryginalnie podpisywanych danych.

Problem dotyczy tylko danych zintegrowanych z podpisem w jednym pliku - dane z podpisem w oddzielnym pliku (detached signature) nie są zagrożone. Z jednej strony to dobrze, bo np. do podpisywania programów open-source jest wykorzystywany zwykle podpis oddzielny. Z drugiej strony dziurawa metoda to podstawowy sposób przesyłania np. poczty elektronicznej podpisanej przy użyciu GPG.

Błąd nie dotyczy innych implementacji standardu OpenPGP, znaleziono go tylko w GPG. Nie dotyczy także innych systemów podpisu elektronicznego takich jak S/MIME.

Szczegółowe informacje o błędzie można znaleźć na stronach GPG.

Zalecana jest jak najszybsza aktualizacja do poprawionej wersji:

http://www.gnupg.org/download/


Zobacz również