Używanie PGP lub S/MIME jest niebezpieczne

PGP (Pretty Good Privacy) i S/MIME (Secure/Multipurpose Internet Mail Extensions) miały zapewnić większe bezpieczeństwo przesyłania wiadomości. I robiły to od bardzo dawna. Do dziś.

Grupa badaczy z Niemiec, w tym zajmujący się cyberbezpieczeństwem profesor Sebastian Schinzel z Uniwersytetu w Münster, poinformowała dziś o wykryciu luk zarówno w S/MIME, jak i PGP.

Pierwotnie podano, że pełny opis wykrytych luk zostanie upubliczniony 15 maja o 7.00 rano czasu UTC (8.00 rano czasu polskiego). Ze względu na rozwój sytuacji naukowcy uznali, że warto dokonać publikacji wcześniej.

Niestety na tę chwilę nie ma łatek, które byłaby w stanie przywrócić bezpieczeństwo. Tymczasowym rozwiązaniem jest wyłączenie obydwu funkcji w kliencie poczty.

By zrozumieć naturę zagrożenia, najpierw należy wyjaśnić czym właściwie są PGP i S/MIME. Obie są bowiem metodami szyfrowania maili. Ale po co w ogóle je szyfrować?

Większość użytkowników wysyła maile otwartym tekstem, częściowo tylko chronione dzięki szyfrowaniu na poziomie sieci (TLS). I to, zwykle wystarczy. Ale nie przeciw każdemu zagrożeniu. Osoby, które z różnych względów muszą zachować szczególne bezpieczeństwo komunikacji (politycy, dziennikarze, aktywiści) muszą mieć pewność, że ich wiadomość nie zostanie odczytana „po drodze”, by np. administrator serwera mailowego nie miał możliwości ich podejrzenia. Stąd obecność bardziej wyrafinowanych metod zabezpieczenia maili, takich jak PGP czy S/MIME. Obie technologie mają na celu ochronę treści na całej drodze od nadawcy do odbiorcy. Obie wykorzystują kryptografię asymetryczną.

Przy czym PGP ma niezależną hierarchię zaufania, gdy S/MIME opiera się na infrastrukturze klucza publicznego, co czyni ją nieco bardziej popularną. PGP jest jednak często stosowane w środowiskach technologicznych i polecane w sytuacjach szczególnego zagrożenia.

Zarówno PGP, opracowana w 1991 roku przez Phila Zimmermanna, jak i S/MIME, której pierwsza wersja powstała za sprawą RSA Security w 1995 roku, są dość wiekowe. Standardy były parokrotnie aktualizowane, ale jak pokazuje dzisiejsza publikacja zmiany nie były wystarczające w zestawieniu z rosnącą wiedzą analityków.

Ponieważ obie metody stosowane są od dawna, a ataki pozwalają również deszyfrować uprzednio przechwycone listy, to budzą one obawy nawet takich specjalistów od zabezpieczeń jak Mikko Hypponen, CEO F-Secure.

Ataki, zbiorczo nazwane EFAIL, pozwalają na wykorzystanie nieświadomego nadawcy lub jednego z odbiorców do odszyfrowania własnej korespondencji. W niektórych przypadkach, jeśli tylko otworzy lub podejrzy odpowiednio spreparowany list.

W dużym uproszczeniu, EFAIL wykorzystuje skłonność klientów pocztowych do wyświetlania zaszyfrowanych wiadomości inaczej niż w czysto tekstowy sposób. Na przykład w przypadku HTML-a, ładowane mogą być zewnętrzne obrazy, filmy, style, a nawet skrypty. Modyfikując fragmenty szyfrogramu można spowodować, że cała wiadomość – odszyfrowana przez program pocztowy ofiary – znajdzie się w URL-u prowadzącym do serwera pod kontrolą atakującego.

Haker musi wcześniej przechwycić zaszyfrowaną komunikację, ale jest na to wiele sposobów, takich jak podsłuchiwanie niezabezpieczonej transmisji, włamania na serwer pocztowy, czy serwer z kopiami zapasowymi. Pozyskany w ten sposób zaszyfrowany email może być nawet starą wiadomością wysłaną wiele lat temu.

Badacze wyróżnili dwie odmiany zagrożenia: „Direct Exfiltration” (bezpośrednie pozyskanie) oraz „CBC/CFB Gadget Attack”. Pierwsza jest trywialna w realizacji, ale jej skuteczność opiera się na niefrasobliwym działaniu niektórych programów pocztowych. Druga wymaga wykorzystania słabości w jednym z trybów szyfrowania symetrycznego, ale ma zastosowanie również w przypadku klientów działających zgodnie z literą standardów.

Tu, idąc w ślad za badaczami z Munster University of Applied Sciences (NIemcy), Ruhr University Bochum (Niemcy) oraz Katholieke Universiteit Leuven (Belgia) podajemy możliwe sposoby na zabezpieczenie się przed ujawnionym zagrożeniem.

Metody S/MIME oraz PGP były używane przez osoby i instytucje, którym szczególnie zależało no bezpieczeństwie przesyłanych treści. Teraz trzeba będzie pomyśleć nad innymi metodami (fot. Alien coders)

Po pierwsze, przynajmniej do czasu wydania odpowiednich łatek, można zrezygnować z odszyfrowywania maili wewnątrz klienta poczty. Naukowcy uznali to za najbardziej bezpieczną na tę chwilę metodę. Maile najlepiej pobierać, a następnie odszyfrowywać używając osobnego narzędzia. W ten sposób nie powstaje kanał do ataku.

Drugą opcją jest wyłączenie w kliencie poczty wyświetlania treści HTML. To wprawdzie nie zabezpieczy nas w 100 procentach, ale uniemożliwi stworzenie kanału do wyprowadzenia danych dla większości wariantów EFAIL.

Trzecia możliwość, przydatna w przypadku bram pocztowych stosowanych w dużych firmach i instytucjach, to przekazywanie odszyfrowanych wiadomości wyłącznie w postaci czystego tekstu i konwertowanie wszystkich części poza pierwszą na załączniki.

Zapewne niedługo otrzymamy aktualizacje klientów poczty łatające opisane luki. W przypadku PGP od dawna dostępne są odpowiednie rozszerzenia (SEIP i MDC), nie są one jednak doskonałe, a ze względu na kompatybilność ich nieobecność generalnie nie jest traktowana jak twardy błąd. Biorąc pod uwagę liczbę podatnych programów należy oczekiwać co najmniej uściślenia standardu OpenPGP i aktualizacji S/MIME.

Podatność programów pocztowych: kolor czerwony oznacza możliwość deszyfrowania tylko przy otwarciu spreparowanego listu, a pomarańczowy wymaga pewnej interakcji ze strony ofiary (Poddebniak et al.).

Warto zaznaczyć iż większość użytkowników nie korzysta z tych metod zabezpieczania korespondencji i nie jest tym samym narażona na ataki EFAIL. Autorzy pracy wspominają jednak, że liberalny stosunek programów pocztowych do zewnętrznych zasobów może również stanowić zagrożenie dla prywatności. | CHIP