PGP_10.4.1/ PGP_9.12 - ein Sicherheitsproblem (Kein MDC) beim Entschlüsseln

Gpg4win help-de
1

Hallo zusammen,

Mitarbeiter nutzen OL 365 - MS Exchange - PGP 10.4.2

Mitarbeiter auf Kleopatra ( gpg4win 3.1.5 ) umgestellt. Jetzt habe ich folgendes Problem:
- mit Nachrichten, die mit PGP 10.4.2 verschlüsselt sind, kommt Kleopatra klar …
- mit Nachrichten, die mit PGP 10.4.1 oder 9.12.0 verschlüsselt sind, wird folgender Fehler geliefert:

(Daten konnten nicht entschlüsselt werden: Daten sind nicht integritätsgeschützt. Das Entschlüsseln könnte ein Sicherheitsproblem sein. (Kein MDC)

dieser Fehlermeldung trat irgendwann im Januer auf, bei der PGP 10.4.1 Version. Update auf PGP 10.4.2 hat es behoben.

Konnte man das nicht als Hinweis einbauen und User selber entscheiden lassen ( entschlüsseln, trotz ein Sicherheitsproblem oder nicht )
Was mache ich jetzt mit Emails, die noch mit PGP 10.4.1 oder 9.12.0 verschlüsselt sind?

Gruß
Alexander Hochhalter

Kleopatra.png

2

Könnte man, für Dateien haben wir es auch gemacht. Für GpgOL haben wir es erstmal nicht gemacht weil es da noch aufwändiger wäre und sich niemand beschwert hat. Da bei EMails seltener veraltete Software zum verschlüsseln verwendet wurde. Wir haben momentan auch nicht vor das hinzufügen solange sich nicht viele Nutzer beschweren oder ein kommerzieller Kunde dafür zahlt. Es ist einfach für den Aufwand für zu wenig Nutzer relevant.

Ich kann es nicht testen weil ich dazu keine Beispielmail habe, aber was helfen sollte ist:

   --ignore-mdc-error
          This option changes a MDC integrity protection failure into a warning.  It is required  to  decrypt
          old  messages  which  did not use an MDC.  It may also be useful if a message is partially garbled,
          but it is necessary to get as much data as possible out of that garbled message.  Be aware  that  a
          missing  or  failed MDC can be an indication of an attack.  Use with great caution; see also option
          --rfc2440.

Das kannst du in %APPDATA%/gnupg/gpg.conf eintragen. Das sollte helfen, wenn es denn sein muss.

3

Um das noch etwas zu begründen, das MDC system gibt es seit 2006 und irgendwann mussten wir mal die Reißleine ziehen und sagen → Ohne geht nicht mehr.

Siehe auch: https://www.gpg4win.org/statement-efail.html

4

danke Andre,
das mit --ignore-mdc-error funktioniert und ist erstmal voll ausreichen.

gruß
Alex