ニュース
» 2007年03月08日 09時07分 公開

GnuPG利用のメールクライアントに署名問題

署名付きのOpenPGPメッセージに攻撃者がテキストを挿入すると、受け取った側はその書き加えられた部分も署名でカバーされ、改ざんが加えられていないと思ってしまう。

[ITmedia]

 オープンソースのメール暗号/署名プログラムGNU Privacy Guard(GnuPG)の利用に関連して、多数のメールクライアントで問題が報告された。

 問題を発見したCore Security TechnologiesやGnuPGチームのアドバイザリーによれば、この問題は、署名付きまたは署名・暗号化されたOpenPGPメッセージに攻撃者がテキストを挿入すると、受け取った側はその書き加えられた部分も署名でカバーされており、完全性が保たれていると思ってしまうというもの。

 影響を受けるのは、署名付きメッセージ認証のためのステータスインタフェースを正しく使わずにGnuPGを利用している全アプリケーション。Enigmail、KMail、Evolution、Sylpheed、Mutt、GNUMailなどのメールクライアントが挙げられている。

 問題は暗号化にあるのではなく、PGP暗号データの転送方法であるOpenPGPをメールプログラムが解釈する方法にあると、SANS Internet Storm Centerは解説している。

 GPGが正しく使われていないと、メッセージのどの部分が署名の対象になるのかを判別できない。例えばアイコンでは「このメッセージは暗号化/署名されています」と告げているのに、そうでない部分があるという事態が発生する。

 この問題に対処したGnuPGバージョン1.4.7と2.0.3では、問題を防ぐための対策が講じられたという。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ