Top News
MTG entdeckt Sicherheitslücke bei CMS- und PKCS#7-Signaturen
Am 22. Oktober wurde ein Papier von MTG veröffentlicht, indem wir über eine bisher nicht bekannte prinzipielle kryptographische Schwachstelle in den Protokollen CMS und PKCS#7 berichten.
Ein Sicherheitsexperte von MTG hat eine grundsätzliche Sicherheitslücke in den Protokollen CMS und PKCS#7-Signaturen aufgetan. Und zwar stellt unter bestimmten Umständen die gültige Signatur über die eigentlich signierten Daten gleichzeitig eine gültige Signatur für andere Daten dar, welche nie regulär signiert wurden. Die Form dieser Daten ist allerdings sehr unflexibel und der Angreifer hat darauf höchstens in einem geringen Umfang Einfluss.
Dass ein bestimmtes reales System dadurch angreifbar wird, ist zwar im Allgemeinen sehr unwahrscheinlich aufgrund der unflexiblen Form der fälschlich signierten Daten, kann aber aufgrund der weiten Verbreitung dieser Protokolle nicht ausgeschlossen werden.
Wer kein Risiko eingehen möchte und seine auf CMS bzw. PKCS#7-Signaturen basierenden Systeme gegen diese potentielle Schwachstelle absichern möchte, kann die in unserem Papier beschriebenen Gegenmaßnahmen umsetzen.
Bildquelle: © FLY:D – Unsplash.com