GnuPG利用のメールクライアントに署名問題

署名付きのOpenPGPメッセージに攻撃者がテキストを挿入すると、受け取った側はその書き加えられた部分も署名でカバーされ、改ざんが加えられていないと思ってしまう。

[ITmedia]

　オープンソースのメール暗号／署名プログラムGNU Privacy Guard（GnuPG）の利用に関連して、多数のメールクライアントで問題が報告された。

　問題を発見したCore Security TechnologiesやGnuPGチームのアドバイザリーによれば、この問題は、署名付きまたは署名・暗号化されたOpenPGPメッセージに攻撃者がテキストを挿入すると、受け取った側はその書き加えられた部分も署名でカバーされており、完全性が保たれていると思ってしまうというもの。

　影響を受けるのは、署名付きメッセージ認証のためのステータスインタフェースを正しく使わずにGnuPGを利用している全アプリケーション。Enigmail、KMail、Evolution、Sylpheed、Mutt、GNUMailなどのメールクライアントが挙げられている。

　問題は暗号化にあるのではなく、PGP暗号データの転送方法であるOpenPGPをメールプログラムが解釈する方法にあると、SANS Internet Storm Centerは解説している。

　GPGが正しく使われていないと、メッセージのどの部分が署名の対象になるのかを判別できない。例えばアイコンでは「このメッセージは暗号化／署名されています」と告げているのに、そうでない部分があるという事態が発生する。

　この問題に対処したGnuPGバージョン1.4.7と2.0.3では、問題を防ぐための対策が講じられたという。