Zaszyfrowaną pocztę można odczytać – to nie szyfrowanie jednak zawiodło

Wielkie poruszenie wśród osób dbających o prywatność wkomunikacji e-mailowej wywołało wczorajsze ostrzeżenieprzed stosowanymi do tego celu narzędziami kryptograficznymi.Wtyczki deszyfrujące PGP i S/MIME w klientach poczty okazały siępodatne na atak EFAIL, umożliwiający wydobycie niezaszyfrowanejtreści wiadomości, i to bez ingerencji ze strony użytkownika. Jakoże zostało już zdjęte embargo dotyczące szczegółówtechnicznych EFAIL-a, możemy się atakowi przyjrzeć dokładniej. Naile realne jest to zagrożenie?

Za odkryciem EFAIL-a stoi profesor Sebastian Schinzel z zespołeminformatyków z Münster University. Z przedstawionych na stronieefail.de informacji wynika, żeniektóre klienty poczty niewłaściwie przetwarzają treści HTML wpoczcie zaszyfrowanej za pomocą PGP i S/MIME, pozwalając naprzeprowadzenie dwóch ataków.

Pierwszy z nich to bezpośrednia eksfiltracja. Ciekawanazwa, oznaczająca niepostrzeżoną ucieczkę wody lub gazu poprzeznieszczelności. Napastnik wykorzystuje tutaj podatności w klientachpoczty Apple Mail, iOS Mail oraz Mozilla Thunderbird, abybezpośrednio wydobyć jawną postać zaszyfrowanej wiadomości W tymcelu tworzy trzyczęściowego e-maila HTML, zawierającego kolejnoniedomknięty znacznik obrazka, wcześniej przechwycony szyfrogramPGP lub S/MIME, oraz domknięcie znacznika obrazka.

Gdy klient poczty ofiary dostanie coś takiego, deszyfrujewiadomość z drugiej części i zszywa całość w jeden e-mailHTML. Następnie zgodnie z kodem HTML przekształca osadzony adresURL dla wszystkich niedrukowalnych znaków (głównie spacji) iwysyła żądanie pobrania obrazka z tego URL-a pod adres hostakontrolowanego przez napastnika. W tym momencie jest już„pozamiatane”. Oczywiście żadnego obrazka klient nie otrzyma,ale napastnikowi wyśle do logów na jego serwerze automatycznieodszyfrowaną wiadomość (tę zawartą w drugiej części) – jest ona częścią adresu URL.

Atak ten działa równie dobrze wobec e-maili zaszyfrowanych PGPjak i popularnym w biznesie S/MIME.

Drugim zagrożeniem jest atakgadżetu CBC/CFB. Tutaj dochodzi do nadużycia trybuwiązania bloków zaszyfrowanych (CBC) w OpenPGP i S/MIME, abywydobyć jawny tekst. Napastnik jest w stanie wysłać zdeformowanebloki danych, które po odebraniu ich przez ofiarę zmuszają klientapoczty do odesłania na serwer napastnika odszyfrowanej wiadomości.

Jako że zaszyfrowane wiadomości zaczynają się zwykle odstałego ciągu Content-type: multipart/signed, napastnik poznajeprzynajmniej jeden blok jawny. Znając jawny tekst może teżmodyfikować bloki jawnego tekstu. Dlatego tworzy specjalny blokskładający się z samych zer, który w połączeniu z jawnymblokiem stanowi tzw. gadżet CBC (dla S/MIME, OpenGPG wykorzystujetryb CFB, ale wychodzi na to samo). Gadżet ten można wykorzystaćdo wstrzyknięcia znacznika obrazka HTML w zaszyfrowany tekst. W tensposób powstaje zaszyfrowany blok tekstu, który sam sięodszyfrowuje kiedy ofiara otworzy maila od napastnika.

Jak wyjaśniają odkrywcy, atak na S/MIME jest bardzo wydajny,napastnik może jednym spreparowanym mailem odszyfrować nawet 500wiadomości. W wypadku OpenPGP jest znacznie gorzej, jako że PGPkompresuje tekst przed zaszyfrowaniem, zgadnięcie bajtów jawnegotekstu jest trudniejsze – atak powodzi się w jednej na trzypróbach.

Ataki gadżetu CBC i CFB otrzymały swoje numery podatności CVE,odpowiednio CVE-2017-17688 (dla OpenPGP) oraz CVE-2017-17689 (dlaS/MIME).

Dobrze, ale co to oznacza dla użytkowników? Przede wszystkimmusimy podkreślić, że opisane powyżej ataki nie łamią PGP czyS/MIME. Same metody szyfrowania są bezpieczne. Problem pojawia sięjedynie w procesie automatyzacji deszyfrowania otrzymywanychwiadomości, oferowanych przez wtyczki do klientów poczty. Aby miećgwarancję, że nikt nie pozna sekretów naszegoromansu, przedewszystkim należy wyłączyć renderowanie przychodzącej poczty wHTML. To może nie wystarczyć, ale zasadniczo powinno zneutralizowaćzagrożenie.

Jeśli jednak robimy coś groźniejszego, np. handlujemy uranem zCzeczenią, to najbezpieczniejszą metodą będzie oczywiściezrezygnowanie z automatycznego odszyfrowywania wiadomości w klienciepoczty – i ręczne kopiowanie szyfrogramu do odzielnej aplikacjideszyfrującej. Może być to niewygodne dla normalnych użytkowników,szczególnie gdy używa się dużo zaszyfrowanej poczty (np. wpracy), ale póki nie zostaną wydane odpowiednie łatki, jest torozsądnym rozwiązaniem.

Electronic Frontier Foundation, które dużo ma do czynienia zszyfrowaną pocztą, już opublikowało poradniki, jak wyłączyćwtyczki deszyfrujące w Thunderbirdzie (Enigmail),Apple Mail (GPGTools)oraz Outlooku (Gpg4win).

Więcej szczegółów znajdziecie w artykulept. Efail: Breaking S/MIME and OpenPGP Email Encryption usingExfiltration Channels.