L

08/10/2015 - 16:21 von Dirk Zimmer | Report spam
Hallo,

heute fand ich bei heise.de folgenden Artikel

http://www.heise.de/security/meldun...ke-im-PGP-
Standard-2840052.html?wt_mc=rss.security.beitrag.atom

aber ich muss sagen ich verstehe nicht so richtig was mit dem
manipulieren von verschlüsselten Nachrichten genau gemeint ist. Was wird
da manipuliert und welchen Vorteil verspricht man sich davon. Was könnten
mögliche Konsequenzen für den Empfànger sein?

Gruß Dirk
 

Lesen sie die antworten

#1 Arno Welzel
08/10/2015 - 17:03 | Warnen spam
Am 2015-10-08 um 16:21 schrieb Dirk Zimmer:

heute fand ich bei heise.de folgenden Artikel

http://www.heise.de/security/meldun...ke-im-PGP-
Standard-2840052.html?wt_mc=rss.security.beitrag.atom



Kürzer:

<http://www.heise.de/-2840052.html>

aber ich muss sagen ich verstehe nicht so richtig was mit dem
manipulieren von verschlüsselten Nachrichten genau gemeint ist. Was wird
da manipuliert und welchen Vorteil verspricht man sich davon. Was könnten
mögliche Konsequenzen für den Empfànger sein?



Steht doch da:

"Ein Forscher demonstrierte nun, dass es durchaus möglich ist, die
nachtràglich hinzugefügte Integritàtssicherung zu entfernen und damit
aus SEIP-Daten-Paketen einfache SE-Pakete zu machen. Damit kann er dann
die digitale Signatur entfernen und auch die verschlüsselten Daten
àndern. Dafür muss er nicht den Schlüssel kennen, der für die
Verschlüsselung verwendet wurde. Alle OpenPGP-konformen Programme werden
diese gefàlschten Nachricht entschlüsseln; das weit verbreitete GnuPG
liefert immerhin die zusàtzliche Warnung: "message was not integrity
protected"."

Verkürzt:

Weil OpenPGP-Implementierungen abwàrtskompatibel sind, können
Schutzmechanismen, die die Integritàt einer Nachricht sicherstellen,
umgangen werden, indem man einfach die Nachricht so veràndert, dass sie
als "im alten Standard verschlüsselt" angesehen wird, wo die Integritàt
eben nicht mehr geprüft wird.

Zumindest sieht der Empfànger aber, dass etwas "komisch" ist, weil die
Meldung "message was not integrity protected" bei Absendern mit
aktueller OpenPGP-Implementierung nicht kommen sollte.


Arno Welzel
http://arnowelzel.de
http://de-rec-fahrrad.de
http://fahrradzukunft.de

Ähnliche fragen