Šifrování e-mailů: Co znamená aféra Efail pro PGP a S/MIME?

15. 5. 2018

Sdílet

 Autor: Redakce
Aféra Efail měla otřást důvěrou v ve standardy PGP a S/MIME pro šifrování e-mailů. VE skutečnosti ale problém není tak velký, jak se zdálo.

Zpráva Electronic Frontier Foundation včera vyděsila veřejnost, protože naznačovala, že standardy PGP a S/MIME pro posílání šifrovaných e-mailů jsou zranitelné, a tím pádem nefunkční. Ze strany EFF to ale byla spíš hysterická reakce, na kterou jsme se nechali nachytat i my. Černý den e-mailu se nekoná. Situace je sice vážná, ale ne tolik, jak to včera vypadalo. Evropští bezpečnostní experti měli povahu zranitelností zveřejnit až dnes, nakonec ale několik detailů uniklo již včera, a tak objevitelé nečekali, a ještě odpoledne vydali studii s názvem Efail: Breaking S/MIME and OpenPGP Email Encryption using Exfiltration Channels.

Děravé nejsou standardy, ale implementace

Klíčovou informací je, že zranitelnosti se nenacházejí v samotných standardech popisujících šifrování e-mailů, ale ve způsobu, jak je implementovaly doplňky pro e-mailové klienty (které PGP a S/MIME zpřístupňují) a samotných klientech (které zprávy zobrazují).

Efail Útočník si může přečíst vaši šifrovanou zprávu, jen když mu v tom pomůžete

Efail popisuje celkem tři chyby, všechny mají shodné vlastnosti.

  • Aby si útočník mohl něčí šifrovanou zprávu přečíst, musí se k ní nejdříve dostat přímým přístupem ke schránce nebo e-mailovému serveru, získáním potřebných souborů z počítače nebo odposlechem při odesílání zprávy.
  • Všechny tři chyby využívají e-mailů zaslaných ve formátu HTML, ke kterým lze přibalit vzdálené obrázky nebo kaskádové styly (CSS).

V prvním bodě nelze zabezpečit všechny kroky, protože u firemní pošty se vám ve schránce může hrabat administrátor. A u libovolného veřejného e-mailového serveru (Gmail, Seznam…) si zprávy „může“ číst rovněž kdokoliv ze správců. Vy jim můžete jen důvěřovat, že to nedělají.

Ve druhém bodě je ochranou to, že v e-mailovém klientu zakážete načítání externího obsahu (většinou je to už výchozí možnost) nebo rovnou zakážete zobrazování obsahu v HTML.

Neobrázek, který vás připraví o soukromí

Jak tedy chyby zneužít? Autoři studie z Münsterské univerzity, Bochumské univerzity a Katolické univerzity v Lovani zneužitelnosti rozdělili do dvou skupin: direct exfiltration a CBC/CFB gadget attack.

V případě direct exfiltration útočník vytvoří nový e-mail, do kterého vloží původní zašifrovanou zprávu získanou od oběti. Ta ovšem na první pohled nebude vůbec vidět. Je schovaná v neuzavřené HTML značce pro načtení obrázku.

Efail Ve značce IMG je schovaná původní zašifrovaná zpráva

Když útočník oběti záškodnický e-mail opětovně odešle, klientský program oběti šifru převede do čitelné podoby a text vloží do otevřené značky se zdrojovou adresou útočníkova serveru.

Efail Dešifrovaná zpráva

Pokud má oběť povolené zobrazování HTML a načítání externího obsahu, klient si od serveru vyžádá obrázek. Jenže ten tam žádný není. V adrese je pouze dešifrovaná zpráva, nikoliv cesta k obrázku na serveru. Útočník si ale projde logy na serveru a uvidí, o které neobrázky byl zájem, tedy co skutečně obsahují šifrované zprávy.

Efail Odkaz vedoucí na odposlouchávající server

Útok je účinný proti Apple Mailu pro macOS a iOS, protože ty standardně zobrazují HTML a načítají externí obsah. Testované klienty Thunderbird, Postbox a MailMate jsou zneužitelné, jen pokud v nich uživatel načítání externího obsahu ručně povolí.

Efail Jablečné e-maily jsou nejohroženější

Druhá skupina útoků CBC (S/MIME) a CFB (PGP) gadget attack je složitější a hůře zneužitelná. Útočník musí znát část zašifrované zprávy a nahradit ji vlastním kódem – opět neuzavřenou značkou , která dešifrovaný text vyžvaní na útočníkově serveru. Tady v řadě případů ani nemusíte ručně nic povolat, externí obsah si vyžádá samotný špatně šifrovací doplněk.

Tvůrci OpenPGP tvrdí, že jejich řešení je bezpečnější než S/MIME. Součástí OpenPGP je již od roku 2000 detektor modifikovaného kódu (MDC), který hlídá, jestli souhlasí kontrolní součet a jestli tedy nedošlo k úpravě zprávy. Potíž je v tom, že použití MDC není povinné a každý program se k němu staví jinak, na modifikovanou zprávu nereaguje vůbec či jen varováním. S/MIME ani žádnou podobnou ochranu nemá.

Autoři Efailu zjistili, že tento útok fungoval na 10 z 28 testovaných e-mailových klientů využívajících PGP.

Efail Útoky na PGP klienty

U S/MIME neodolal téměř žádný.

Efail Útoky na S/MIME klienty

Co s šifrovanými e-maily?

Přiznejme si to, většina lidí e-maily nešifruje, takže objevené zranitelnosti nejsou ničím, z čeho by si měli dělat starosti. Objev akademiků z německých a belgických univerzit navíc neprokázal, že by byla chyba v samotném návrhu PGP a S/MIME. Skrz uvedené zranitelnosti se nikdo na dálku nedostane k cizím šifrovacím klíčům a citlivým uživatelům by spíš mělo dělat starost, že útočník potřebuje přístup k jejich zprávě či schránce.

ICTS24

Přesto je dobré, že se o problému s bezpečností HTML zpráv mluví a aféra přesvědčí vývojáře e-mailových klientů a doplňků, aby díry opravili. Autoři Efailu na rozdíl od EFF nevybízejí k tomu přestat šifrování používat. Uživatelé by se ale měli chránit. Buď vypnutím HTML nebo načítání externího obsahu, či dešifrováním zpráv v jiném programu než e-mailovém klientu. V dlouhodobém horizontu prý ale bude třeba upravit i návrh samotných standardů.

Další zdroje: