{"id":12863,"date":"2025-05-22T07:39:58","date_gmt":"2025-05-22T07:39:58","guid":{"rendered":"https:\/\/byte-bucket.com\/2025\/05\/22\/sicherheitsluecke-in-openpgp-js-manipulation-von-signaturpruefungen-bedroht-die-integritaet-verschluesselter-nachrichten\/"},"modified":"2025-05-22T07:39:58","modified_gmt":"2025-05-22T07:39:58","slug":"sicherheitsluecke-in-openpgp-js-manipulation-von-signaturpruefungen-bedroht-die-integritaet-verschluesselter-nachrichten","status":"publish","type":"post","link":"https:\/\/byte-bucket.com\/?p=12863","title":{"rendered":"Sicherheitsl\u00fccke in OpenPGP.js: Manipulation von Signaturpr\u00fcfungen bedroht die Integrit\u00e4t verschl\u00fcsselter Nachrichten"},"content":{"rendered":"<p>OpenPGP.js, eine popul\u00e4re JavaScript-Implementierung des OpenPGP-Standards f\u00fcr sichere Nachrichten\u00fcbermittlung und Verschl\u00fcsselung, hat k\u00fcrzlich eine ernstzunehmende Sicherheitsl\u00fccke aufgedeckt, die dazu f\u00fchren konnte, dass Signaturpr\u00fcfungen manipuliert wurden. Diese Schwachstelle betraf die Funktionen openpgp.verify und openpgp.decrypt, die in der Lage waren, falsche Signaturpr\u00fcfungsergebnisse zur\u00fcckzugeben, obwohl die Daten eigentlich nicht signiert waren. Ein Angreifer mit Zugriff auf eine g\u00fcltige Nachrichtensignatur (entweder inline oder losgel\u00f6st) sowie den urspr\u00fcnglichen Klartext einer rechtm\u00e4\u00dfig signierten Nachricht konnte somit gezielt gef\u00e4lschte Nachrichten konstruieren. Diese gef\u00e4lschten Nachrichten w\u00fcrden von OpenPGP.js als authentisch interpretiert, obwohl sie manipulierte Inhalte enthielten. Besonders kritisch war die Auswirkung auf inline-signierte Nachrichten und signierte, verschl\u00fcsselte Nachrichten. In diesen F\u00e4llen konnte ein Angreifer durch Manipulation der Daten beliebige Inhalte hinterlegen und trotzdem eine g\u00fcltige Signaturbekr\u00e4ftigung erhalten. Abgetrennte Signaturen blieben hingegen von dieser Schwachstelle unber\u00fchrt, da in diesem Szenario keine signierten Daten direkt zur\u00fcckgegeben werden. Die Sicherheitsl\u00fccke betraf sowohl OpenPGP.js Version 5 als auch Version 6, w\u00e4hrend Version 4 davon ausgenommen war. Entwickler reagierten schnell und ver\u00f6ffentlichten Patches in den Versionen 5.11.3 und 6.1.1, um das Problem zu beheben. F\u00fcr Nutzer, die kurzfristig keine M\u00f6glichkeit hatten, die Patches zu implementieren, wurde zudem ein Workaround bereitgestellt. Dieses Ereignis unterstreicht die kontinuierliche Notwendigkeit von Sicherheits\u00fcberpr\u00fcfungen und der schnellen Reaktion auf Schwachstellen in Softwarel\u00f6sungen, insbesondere in Bereichen wie der Kryptografie, wo Datenintegrit\u00e4t und Vertraulichkeit von h\u00f6chster Bedeutung sind.<\/p>\n<p>Schlagw\u00f6rter: OpenPGP.js + openpgp.verify + openpgp.decrypt<\/p>\n","protected":false},"excerpt":{"rendered":"<p>OpenPGP.js, eine popul\u00e4re JavaScript-Implementierung des OpenPGP-Standards f\u00fcr sichere Nachrichten\u00fcbermittlung und Verschl\u00fcsselung, hat k\u00fcrzlich eine ernstzunehmende Sicherheitsl\u00fccke aufgedeckt, die dazu f\u00fchren konnte, dass Signaturpr\u00fcfungen manipuliert wurden. Diese Schwachstelle betraf die Funktionen openpgp.verify und openpgp.decrypt, die in der Lage waren, falsche Signaturpr\u00fcfungsergebnisse zur\u00fcckzugeben, obwohl die Daten eigentlich nicht signiert waren. Ein Angreifer&#46;&#46;&#46;<\/p>\n","protected":false},"author":4,"featured_media":12862,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-12863","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/12863","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=12863"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/12863\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/12862"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=12863"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=12863"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=12863"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}