OpenPGP è insicuro se supporta solo PCKS # 1 v1.5?

Naviga le tue risposte
3

Ho appena letto le specifiche RFC 4880 e non c'è nulla riguardo a OAEP; solo PKCS # 1 v1.5. Se è vero che lo standard OpenPGP supporta solo lo schema padding P1CS # 1 v1.5, si tratta di un problema di sicurezza?

Di solito si dice che non si dovrebbe più usare PKCS # 1 v1.5 o solo per motivi legacy perché permette attacchi padding-oracle. Tuttavia, OpenPGP / GnuPG è considerato sicuro. Quindi, gli attacchi di padding-oracle sono fattibili?

(Penso che non dovrebbero essere possibili, perché il destinatario non invia alcuna informazione al mittente, ma io non sono un esperto, quindi sto chiedendo qui)

Alcune ripensamenti: Gli attacchi di padding-oracle non dovrebbero essere possibili se si verifica la firma del mittente e si decodifica il messaggio solo se il mittente è valido o non sbaglio qui?

    
posta K. Biermann 19.02.2015 - 18:55
fonte

1 risposta

1

Come avrete notato, la sezione 11.3 di RFC4880 enumera le composizioni di pacchetti legali. In pratica, osserverai che il payload firmato è incorporato nel messaggio crittografato, quindi puoi solo controllare la firma dopo aver decrittografato il messaggio.

Riguardo ad altre questioni, la tua affermazione "OpenPGP è considerata sicura" è errata in alcune circostanze. OpenPGP è, per quanto riguarda molti aspetti, non sicuro contro gli attacchi oracoli (principalmente a causa della mancanza di schemi di crittografia autenticati) e probabilmente non dovrebbe essere usato nelle procedure di decrittografia automatica a meno che tu non sia un esperto di crittografia sapendo come attenuare opportunamente tutte le possibili fughe di informazioni . Questa affermazione è supportata da molti sviluppatori OpenPGP e questo rischio è chiaramente documentato da alcuni di essi (ad esempio, il team end-to-end).

Per quello che vale, la prossima conferenza CT-RSA ospiterà una discussione su alcune nuove vulnerabilità CCA di OpenPGP che sono state trovate in molte implementazioni di OpenPGP: link

modifica: errore di battitura

    
risposta data 19.02.2015 - 22:34
fonte

Leggi altre domande sui tag

OpenSSL lascia tracce che un server lo utilizza? BYOD: ricerca di metodi sicuri per la cancellazione dei dati in remoto