Sicherheit

PGP-Verschlüsselung lässt sich austricksen

von - 22.11.2010
PGP-Verschlüsselung lässt sich austricksen
In der aktuellen und der kommenden Version der Verschlüsselungssoftware PGP Desktop ist ein Sicherheitsproblem bekannt geworden, mit der ein Angreifer den Signatur-Mechanismus umgehen kann. Das Unternehmen stellt Updates zur Verfügung.
Die Verschlüsselungs- und Signatursoftware PGP Desktop hat eine Sicherheitslücke. Ein Angreifer kann unsignierte Inhalte in eine signierte Nachricht schmuggeln - unter bestimmten Bedingungen erkennt PGP Desktop den Betruf nicht und kennzeichnet die gesamte Nachricht als signiert. Ein Angreifer kann überdies verschlüsselte Inhalte in eine OpenPGP-Nachricht schleusen, die verschlüsselte und signierte Inhalte enthält. Mit Hilfe der Signatur kann der Empfänger einer Nachricht sicher sein, dass die Nachricht von der Person stammt, von der sie vorgibt zu kommen.
Dem Sicherheitshinweis von PGP zufolge betrifft der Progammfehler die aktuelle Version PGP Desktop 10.0.3 SP1 und die kommende Version 10.1.0. Dabei tritt das Sicherheitsproblem nur auf, wenn der Nutzer die Nachricht über das Kontextmenü, das über einen Klick mit der rechten Maustaste aufgerufen wird, entschlüsselt.
Der Hersteller der Software hat ein Service Pack herausgegeben, das die aktuelle Version 10.0.3 SP 1 absichert. Wer PGP einsetzt, sollte sich an den technischen Support wenden um das neue Service Pack zu erhalten und seine Software auf 10.0.3. SP 2 zu aktualisieren. PGP 10.1.0 ist noch nicht verfügbar. PGP-Kunden sollen Version 10.1.0 SP 1 installieren, sobald sie verfügbar ist.
Verwandte Themen