|
Sicherheitslücken in PGP 5.0 und 5.5?
From: lutz@taranis.iks-jena.de (Lutz Donnerhacke)
Newsgroups: de.comp.security,de.org.ccc,z-netz.alt.pgp.allgemein
Subject: Zusammenfassung PGP
Date: 12 Dec 1998 14:38:28 GMT
Organization: IKS GmbH Jena
Der folgende Text entstand auf Nachfrage aus Italen, die überlegen, was
von PGP 5 und CMR zu halten ist.
------------------------------------------------------------------------
> Ich glaube, was am wichtigsten ist, ist folgendes:
>
> - Unterschiede zwischen Versionen 5.0, 5.0i (übrigens, was für eine
> Rolle hat Schumacher dabei gespielt?), 5.5 und insbesondere
> 5.5.3 freeware, was die Sicherheit bzw. GAK betdifft.
5.0 ist die normale Entwicklung gewesen, hinter der alle Welt stand.
Es gibt keine eigenständige 5.0i. Die von Ståle Schumacher gescannte
Version 5.0b8 ist jetzt die 5.0i. Damit waren die Exportbestimmungen
umgangen. Gemäß Lizenzbestimmungen von PGP darf diese Version nicht
verändert werden. Sie ist somit "sinnlos" und zum Marketinggag
degradiert.
Mit der CMR Fähigkeiten in der 5.5 Bussiness haben diverse Leute die 5.0
neu angesehen und festgestellt, daß dort schon CMR unterstützt wird. Das
führte zur Verärgerung. Viele, die beim Scannen und Korrekturlesen
halfen, fühlen sich ausgenutzt. (Ich habe die letzten Seiten der 5.0i
UNIX zusammen mit Jon Callas auf der HIP'97 korrekturgelesen.)
Die 5.5 Bussiness kann CMR Keys erzeugen. Ihr liegt ein Policy Enforcer
bei. Darüberhinaus kann man in der 5.5 Bussiness vorgegebene
Sicherheitseinschränkungen nicht abschalten.
Ab der 5.5.2 werden auch für RSA Keys zur PGP 2.6x inkompatible
Datenformate erzeugt.
Zu CMR (Company Key Recovery):
> - Wird der Benutzer darüber informiert, daß die Nachricht, die
> er vorbereitet, auch für einen Dritten kodifiziert wird?
> Daß die Nachricht, die er bekommt, auch ein Dritter lesen kann?
> In welchen Versionen?
CMR dient dazu, die Kommunikation in BEIDE Richtungen mitlesbar zu
machen. Für eMail, die die Firma verläßt, kann PGP 5.5 Bussiness so
konfiguriert werden, daß sie stets auch an einen Firmenkey
verschlüsselt. Dies entspricht in etwa dem EncryptToSelf und stammt noch
aus dem ViaCrypt Code.
Umgekehrt geht das nicht, da der externe Nutzer nicht freiwillig an den
Firmenkey mitverschlüsselt. Deshalb sind in den Public Keys der
Mitarbeiter spezielle Felder (ARR - Additional Recipient Record)
enthalten, die ein beliebiges PGP in der Welt dazu veranlassen sollen,
nicht nur an den Mitarbeiter sondern auch an die Firma zu verschlüsseln.
In der Kommandozeilenversion von PGP 5.x gibt es keine Rückfragen, es
sei denn, der Firmenschlüssel muß noch vom Keyserver geladen werden. In
der Windows Version von PGP 5.x erscheinen alle Keys, auch der
Firmenkey, im Adressatenfeld. Wenn der Nutzer dies bemerkt, kann er den
Firmenkey entfernen. Dies ist jedoch unpraktisch und wird deshalb
vermutlich übersehen.
Um zu verhindern, daß in der Firma (mit der Freeware) oder außerhalb
jemand absichtlich nicht an den Firmenkey verschlüsselt, wird der Policy
Enforcer eingesetzt. Diese Software überwacht den eMailverkehr und läßt
alle eMail, die nicht an den Firmenkey verschlüsselt ist, bouncen. Wer
also nicht kooperiert, kann nicht kommunizieren.
Mit dem Firmenkey kann man nun immer den Sessionkey einer Nachricht
ermitteln und damit die Nachricht. Es ist also nicht mehr notwenig, die
privaten Schlüssel der Nutzer im Zugriff zu haben (Key Escrow), da man
an die Nachrichtenschlüssel herankommt (Key Recovery).
In all dieses Ausführungen ist es leicht, das Wort 'Firma' durch 'Staat'
oder 'Regierung' zu ersetzen. Mittels eines Gesetzes kann der Policy
Enforcer auf den Mailservern der Provider zur Pflicht gemacht werden.
Ist PGP5 weit genug verbreitet, stört das die meisten Nutzer nicht sehr.
Das Gesetz ist somit durchsetzbar.
Dabei liegt das Problem der Firmen ganz anders:
Ebenso wie Telefongespräche nicht abgehört und archiviert werden
müssen, muß auch der eMail Verkehr nicht abgehört werden.
Wichtiger ist es den Firmen, an abgespeicherte Daten auf der
Festplatte heranzukommen. Es ist also kein Problem, zum Abspeichern
eine andere Verschlüsselung zu benutzen als zur Kommunikation. Damit
sind die Forderungen der Industdie erfüllbar. Die Kommunikation selbst
bleibt dabei sicher.
PGP Inc. hat diese einfache Tatsache übersehen und ein nahezu perfektes
Mittel zur nationalstaatlichen Überwachung geschaffen. Das ist sicher
keine Absicht. Jedoch führen die Vertreter einer Überwachung PGP5 als
praktisches Beispiel einer machbaren Implementation an.
Es bleibt also nichts, als eine neue Version zu erstellen (bin ich
dabei), die eine vollständige Verbreitung von PGP5 mit eingebautem GAK
(Gouvernment Access to Keys) verhindert.
| 
