Zum Inhalt springen Zum Menü springen

AKTUELLES

Aktuelles der MTG AG

Interessante Nachrichten und Produkte der MTG

Nov 28, 2023

MTG entdeckt Sicherheitslücke bei CMS- und PKCS#7-Signaturen

Am 22. Oktober wurde ein Papier von MTG veröffentlicht, indem wir über eine bisher nicht bekannte prinzipielle kryptographische Schwachstelle in den Protokollen CMS und PKCS#7 berichten.

Ein Sicherheitsexperte von MTG hat eine grundsätzliche Sicherheitslücke in den Protokollen CMS und PKCS#7-Signaturen aufgetan. Und zwar stellt unter bestimmten Umständen die gültige Signatur über die eigentlich signierten Daten gleichzeitig eine gültige Signatur für andere Daten dar, welche nie regulär signiert wurden. Die Form dieser Daten ist allerdings sehr unflexibel und der Angreifer hat darauf höchstens in einem geringen Umfang Einfluss.

Dass ein bestimmtes reales System dadurch angreifbar wird, ist zwar im Allgemeinen sehr unwahrscheinlich aufgrund der unflexiblen Form der fälschlich signierten Daten, kann aber aufgrund der weiten Verbreitung dieser Protokolle nicht ausgeschlossen werden.

Wer kein Risiko eingehen möchte und seine auf CMS bzw. PKCS#7-Signaturen basierenden Systeme gegen diese potentielle Schwachstelle absichern möchte, kann die in unserem Papier beschriebenen Gegenmaßnahmen umsetzen.

Bildquelle: © FLY:D Unsplash.com


Was können wir für Sie tun?

Wir freuen uns, von Ihnen zu hören.

Loading …