Дыра в почтовой криптозащите поможет подставить сослуживца

Author:

Вячеслав Ансимов

Известная ранее только специалистам дыра в системах шифрования электронных сообщений стала доступна широкой общественности, сообщает ZDNet News. Используя эту дыру, получатель закодированного письма с цифрой подписью может переслать его третьей стороне так, что оно будет выглядеть как посланное изначальным отправителем.

Проблему решил высветить Дон Дэвис, отвечающий за компьютерную безопасность компании Curl. В четверг он выступил по данному вопросу на проходящей в эти дни в Бостоне ежегодной конференции ассоциации компьютерных профессионалов USENIX.

Упомянутая недоработка, свойственная распространенным стандартам кодирования и касающаяся технологии отправки защищенных сообщений, давно известна специалистам по шифрованию. Однако вне узких кругов она до сего момента огласку не получала.

Обычно получатель зашифрованного письма уверен, что это письмо никто, кроме отправителя, не читал. Теперь выясняется, что это вовсе не обязательно: дыра в криптозащите позволяет устраивать различные махинации. Например, можно перенаправить письмо с корпоративными или государственными секретами конкурирующей фирме, в СМИ и иностранную разведку. То, что письмо перенаправлено вами, никто не узнает, а первоначальный отправитель будет здорово подставлен. Конечно, это возможно, если настоящий получатель не указан явно в тексте или теме письма.

Кроме того, письмо от сослуживца можно слегка подправить и перенаправить боссу. Ущерб при этом будет зависеть от меры фантазии злоумышленника.

Доверие к шифрованию и цифровой подписи из-за этой недоработки оказывается подмоченным. Дефекту подвержены наиболее распространенные стандарты: Pretty Good Privacy (PGP), S/MIME, MOSS, Privacy Enhanced Mail и PKCS 7.

Решение проблемы на удивление простое. В тексте нужно явным образом указывать получателя. “Дорогой Вася!┘” в начале письма исключает возможность махинации со стороны Васи.

ССЫЛКИ ПО ТЕМЕ


Crypto flaw allows email shenanigans – ZDNet News, 27.06.01

МАТЕРИАЛЫ ПО ТЕМЕ


У PGP обнаружена дыра в электронной подписи21.03.01


Spam mimic маскирует тайную переписку под спам19.12.00


Союз Журналистов