Zaszyfrowaną pocztę można odczytać – to nie szyfrowanie jednak zawiodło

Strona główna Aktualności
image

O autorze

Wielkie poruszenie wśród osób dbających o prywatność w komunikacji e-mailowej wywołało wczorajsze ostrzeżenie przed stosowanymi do tego celu narzędziami kryptograficznymi. Wtyczki deszyfrujące PGP i S/MIME w klientach poczty okazały się podatne na atak EFAIL, umożliwiający wydobycie niezaszyfrowanej treści wiadomości, i to bez ingerencji ze strony użytkownika. Jako że zostało już zdjęte embargo dotyczące szczegółów technicznych EFAIL-a, możemy się atakowi przyjrzeć dokładniej. Na ile realne jest to zagrożenie?

Za odkryciem EFAIL-a stoi profesor Sebastian Schinzel z zespołem informatyków z Münster University. Z przedstawionych na stronie efail.de informacji wynika, że niektóre klienty poczty niewłaściwie przetwarzają treści HTML w poczcie zaszyfrowanej za pomocą PGP i S/MIME, pozwalając na przeprowadzenie dwóch ataków.

Dwa (albo trzy) ataki

Pierwszy z nich to bezpośrednia eksfiltracja. Ciekawa nazwa, oznaczająca niepostrzeżoną ucieczkę wody lub gazu poprzez nieszczelności. Napastnik wykorzystuje tutaj podatności w klientach poczty Apple Mail, iOS Mail oraz Mozilla Thunderbird, aby bezpośrednio wydobyć jawną postać zaszyfrowanej wiadomości W tym celu tworzy trzyczęściowego e-maila HTML, zawierającego kolejno niedomknięty znacznik obrazka, wcześniej przechwycony szyfrogram PGP lub S/MIME, oraz domknięcie znacznika obrazka.

Gdy klient poczty ofiary dostanie coś takiego, deszyfruje wiadomość z drugiej części i zszywa całość w jeden e-mail HTML. Następnie zgodnie z kodem HTML przekształca osadzony adres URL dla wszystkich niedrukowalnych znaków (głównie spacji) i wysyła żądanie pobrania obrazka z tego URL-a pod adres hosta kontrolowanego przez napastnika. W tym momencie jest już „pozamiatane”. Oczywiście żadnego obrazka klient nie otrzyma, ale napastnikowi wyśle do logów na jego serwerze automatycznie odszyfrowaną wiadomość (tę zawartą w drugiej części) – jest ona częścią adresu URL.

Atak ten działa równie dobrze wobec e-maili zaszyfrowanych PGP jak i popularnym w biznesie S/MIME.

Drugim zagrożeniem jest atak gadżetu CBC/CFB. Tutaj dochodzi do nadużycia trybu wiązania bloków zaszyfrowanych (CBC) w OpenPGP i S/MIME, aby wydobyć jawny tekst. Napastnik jest w stanie wysłać zdeformowane bloki danych, które po odebraniu ich przez ofiarę zmuszają klienta poczty do odesłania na serwer napastnika odszyfrowanej wiadomości.

Jako że zaszyfrowane wiadomości zaczynają się zwykle od stałego ciągu Content-type: multipart/signed, napastnik poznaje przynajmniej jeden blok jawny. Znając jawny tekst może też modyfikować bloki jawnego tekstu. Dlatego tworzy specjalny blok składający się z samych zer, który w połączeniu z jawnym blokiem stanowi tzw. gadżet CBC (dla S/MIME, OpenGPG wykorzystuje tryb CFB, ale wychodzi na to samo). Gadżet ten można wykorzystać do wstrzyknięcia znacznika obrazka HTML w zaszyfrowany tekst. W ten sposób powstaje zaszyfrowany blok tekstu, który sam się odszyfrowuje kiedy ofiara otworzy maila od napastnika.

Jak wyjaśniają odkrywcy, atak na S/MIME jest bardzo wydajny, napastnik może jednym spreparowanym mailem odszyfrować nawet 500 wiadomości. W wypadku OpenPGP jest znacznie gorzej, jako że PGP kompresuje tekst przed zaszyfrowaniem, zgadnięcie bajtów jawnego tekstu jest trudniejsze – atak powodzi się w jednej na trzy próbach.

Ataki gadżetu CBC i CFB otrzymały swoje numery podatności CVE, odpowiednio CVE-2017-17688 (dla OpenPGP) oraz CVE-2017-17689 (dla S/MIME).

Strach ma wielkie oczy

Dobrze, ale co to oznacza dla użytkowników? Przede wszystkim musimy podkreślić, że opisane powyżej ataki nie łamią PGP czy S/MIME. Same metody szyfrowania są bezpieczne. Problem pojawia się jedynie w procesie automatyzacji deszyfrowania otrzymywanych wiadomości, oferowanych przez wtyczki do klientów poczty. Aby mieć gwarancję, że nikt nie pozna sekretów naszegoromansu, przede wszystkim należy wyłączyć renderowanie przychodzącej poczty w HTML. To może nie wystarczyć, ale zasadniczo powinno zneutralizować zagrożenie.

Jeśli jednak robimy coś groźniejszego, np. handlujemy uranem z Czeczenią, to najbezpieczniejszą metodą będzie oczywiście zrezygnowanie z automatycznego odszyfrowywania wiadomości w kliencie poczty – i ręczne kopiowanie szyfrogramu do odzielnej aplikacji deszyfrującej. Może być to niewygodne dla normalnych użytkowników, szczególnie gdy używa się dużo zaszyfrowanej poczty (np. w pracy), ale póki nie zostaną wydane odpowiednie łatki, jest to rozsądnym rozwiązaniem.

Electronic Frontier Foundation, które dużo ma do czynienia z szyfrowaną pocztą, już opublikowało poradniki, jak wyłączyć wtyczki deszyfrujące w Thunderbirdzie (Enigmail), Apple Mail (GPGTools) oraz Outlooku (Gpg4win).

Więcej szczegółów znajdziecie w artykule pt. Efail: Breaking S/MIME and OpenPGP Email Encryption using Exfiltration Channels.

© dobreprogramy