Signaturen fälschen mit GnuPG

Für Schnelleser und diejenigen, die sich vielleicht Sorgen machen: Die entsprechenden Updates sind verfügbar.

Zitat

Nutzer von GnuPG und darauf basierenden Verschlüsselungslösungen sollten entsprechende Updates schnell einspielen. Für GnuPG selbst wurde bereits letzte Woche die Version 2.2.8 veröffentlicht, welche die Ausgabe von mehrzeiligen Dateinamen verhindert. In Enigmail wurden die Bugs in Version 2.0.7 behoben, für GPGTools soll ein Update in Kürze erscheinen.

Für Windows-Nutzer: Die aktuelle Version 3.1.1 des Gpg4win enthält noch nicht die Version 2.2.8 von GnuPG sondern die 2.2.7. Wer nicht auf die nächste Ausgabe von Gpg4win warten möchte, kann unabhängig davon die Version des GnuPG aktualisieren. Siehe dazu die Ankündigung des GnuPG Teams: https://lists.gnupg.org/pipermail/gnup…8q2/000425.html

Für Android-Nutzer: Openkeychain hat am 12.06. ein Update auf die Version 5.1.1 erhalten. Mir ist nicht bekannt, welche Änderungen vorgenommen wurden und ob ein Zusammenhang mit dem SigSpoof besteht. Von Efail war die Kombination K-9 mit Openkeychain nicht betroffen.

Gpg4Win 3.1.2, veröffentlicht bereits am 17.06.2018, enthält GnuPG in Version 2.2.8 und damit den Fix für SigSpoof.

Als Hinweis für Linux-Nutzer, die manuell auf die 2.2.8 upgraden wollen oder es bereits haben:

Einer Testerin unseres künftigen Ubuntu 18.04 Masters fiel heute ein Fehler auf, den ich zuvor beim manuellen Upgrade auf GnuPG 2.2.8 nicht bemerkt hatte. Der gpg-agent war nicht ersetzt worden und hatte auch nach dem Upgrade noch Versionsstand 2.2.4. Der Grund dafür war, dass der Agent während des Upgrades lief. Er muss vorher beendet werden.

Dieser Fehler hat, soweit mit bekannt, keine Auswirkung auf die Funktion sollte aber trotzdem vermieden bzw. behoben werden. Er macht sich im normalen Betrieb auch nicht bemerkbar. Auch gpg-agent --version gibt keinen Hinweis.

Der alte Versionsstand fiel hier nur deshalb auf, weil die Testerin im Terminal ein ECC-Schlüsselpaar erzeugt hat. Dabei gab GnuPG dann eine Hinweismeldung aus.

Diese Meldung findet sich vielleicht auch in den Logs von Enigmail, wenn GnuPG zum Ver- oder Entschlüsseln aufgerufen wird. Dort hatte ich nicht nachgeschaut und kann es nun auch nicht mehr überprüfen.