FEHLER!

Sicherheitslücke in OpenPGP.js: Manipulation von Signaturprüfungen bedroht die Integrität verschlüsselter Nachrichten

OpenPGP.js, eine populäre JavaScript-Implementierung des OpenPGP-Standards für sichere Nachrichtenübermittlung und Verschlüsselung, hat kürzlich eine ernstzunehmende Sicherheitslücke aufgedeckt, die dazu führen konnte, dass Signaturprüfungen manipuliert wurden. Diese Schwachstelle betraf die Funktionen openpgp.verify und openpgp.decrypt, die in der Lage waren, falsche Signaturprüfungsergebnisse zurückzugeben, obwohl die Daten eigentlich nicht signiert waren. Ein Angreifer mit Zugriff auf eine gültige Nachrichtensignatur (entweder inline oder losgelöst) sowie den ursprünglichen Klartext einer rechtmäßig signierten Nachricht konnte somit gezielt gefälschte Nachrichten konstruieren. Diese gefälschten Nachrichten würden von OpenPGP.js als authentisch interpretiert, obwohl sie manipulierte Inhalte enthielten. Besonders kritisch war die Auswirkung auf inline-signierte Nachrichten und signierte, verschlüsselte Nachrichten. In diesen Fällen konnte ein Angreifer durch Manipulation der Daten beliebige Inhalte hinterlegen und trotzdem eine gültige Signaturbekräftigung erhalten. Abgetrennte Signaturen blieben hingegen von dieser Schwachstelle unberührt, da in diesem Szenario keine signierten Daten direkt zurückgegeben werden. Die Sicherheitslücke betraf sowohl OpenPGP.js Version 5 als auch Version 6, während Version 4 davon ausgenommen war. Entwickler reagierten schnell und veröffentlichten Patches in den Versionen 5.11.3 und 6.1.1, um das Problem zu beheben. Für Nutzer, die kurzfristig keine Möglichkeit hatten, die Patches zu implementieren, wurde zudem ein Workaround bereitgestellt. Dieses Ereignis unterstreicht die kontinuierliche Notwendigkeit von Sicherheitsüberprüfungen und der schnellen Reaktion auf Schwachstellen in Softwarelösungen, insbesondere in Bereichen wie der Kryptografie, wo Datenintegrität und Vertraulichkeit von höchster Bedeutung sind.

Schlagwörter: OpenPGP.js + openpgp.verify + openpgp.decrypt

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 22. Mai 2025