• Unser Ticket: https://dev.gnupg.org/T7908
• Status: kein Programmfehler (Social Engineering und notwendige Änderungen am Userinterface, siehe Hinweis oben)
• Beschreibung: Im PGP-Kompatibilitätsmodus, ohne explizite Angabe eines Befehls, kann ein Dateiname aus dem Literal-Data-Feld übernommen werden. Aus diesem Grund wird seit jeher empfohlen, gpg mit einem expliziten Befehl aufzurufen und dabei einen Zieldateinamen anzugeben.
• Voraussetzung: Anwender:innen müssen dazu gebracht werden, sich auf den vorgeschlagenen Dateinamen zu verlassen.
• Einordnung: Der im Literal-Data-Feld enthaltene Dateiname stellt lediglich einen Vorschlag dar. Er ist keine zwingende Vorgabe und ersetzt nicht die explizite Festlegung eines Zieldateinamens durch die Nutzer:innen.

Ursprünglich speicherte PGP Dateien automatisch unter dem im Literal-Data-Feld angegebenen Namen und überschieb dabei gegebenenfalls bereits vorhandene Dateien. Dieses Verhalten konnte zu Sicherheitsproblemen führen.

GnuPG hat dieses Verhalten bewusst geändert. Wird gpg ohne expliziten Befehl oder Zieldateinamen aufgerufen, erfolgt kein automatisches Überschreiben bestehender Dateien. Stattdessen fragt GnuPG aktiv nach, ob eine vorhandene Datei ersetzt werden soll:

File 'test.txt' exists. Overwrite? (y/N)

Die Voreinstellung ist hierbei ausdrücklich „N“ für „Nein“. Wird die Eingabe bestätigt oder „N“ gewählt, fordert GnuPG zur Angabe eines neuen Dateinamens auf. Ein unbeabsichtigtes Überschreiben wird so verhindert.

Unabhängig davon gilt: In älteren OpenPGP-Spezifikationen war der Dateiname nicht Bestandteil der Signatur. In der aktuellen LibrePGP-Spezifikation wird der Dateiname hingegen mit signiert – ein Verhalten, das von GnuPG selbstverständlich unterstützt wird. Auch in diesem Fall handelt es sich jedoch weiterhin um einen Vorschlag für einen Dateinamen, nicht um eine verbindliche Anweisung.

Aus diesem Grund empfehlen wir weiterhin, gpg stets mit einem konkreten Befehl (zum Beispiel --decrypt) aufzurufen und den gewünschten Zieldateinamen explizit anzugeben.

• Unser Ticket: https://dev.gnupg.org/T7909
• Status: kein Programmfehler (Social Engineering, falsche Nutzung von Cleartext-Signaturen und notwendige Änderungen am Userinterface, siehe Hinweis oben)
• Beschreibung: In diesem Punkt wurde beschrieben, dass bei Cleartext-Signaturen der für die Hash-Berechnung herangezogene Klartext von dem mit einfachen Werkzeugen wie cat angezeigten Text abweichen kann. Der mit gpg --output ausgegebene Inhalt entspricht dabei weiterhin dem tatsächlich signierten Klartext.
• Voraussetzung: Nutzer:innen verlassen sich auf die Anzeige des Klartexts mit cat und prüfen nicht den tatsächlich signierten Inhalt.
• Einordnung: Die Signaturprüfung selbst ist korrekt. Die beschriebene Abweichung entsteht ausschließlich dann, wenn der angezeigte Klartext nicht mit dem signierten Inhalt abgeglichen wird.

Sich allein auf die Ausgabe von cat zu verlassen, ist grundsätzlich unsicher. cat zeigt nicht immer alles an, was tatsächlich in Dateien enthalten ist. Schon die Verwendung von cat -v hätte sichtbar gemacht, dass zusätzliche Steuerzeichen enthalten sind und der angezeigte Text nicht dem tatsächlichen Inhalt entspricht.

Die empfohlene Nutzung von gpg --output hätte dieses Szenario zuverlässig verhindert (siehe oben).

• Unser Ticket: https://dev.gnupg.org/T7907
• Status: kein Programmfehler (Social Engineering, falsche Nutzung von Cleartext-Signaturen und notwendige Änderungen am Userinterface, siehe Hinweis oben)
• Kurzfassung: Nutzer:innen müssen eine von gpg ausgegebene Fehlermeldung („decryption failed“) ignorieren und anschließend dennoch mit der ausgegebenen Datenmenge weiterarbeiten oder diese signieren.
• Beschreibung: Es wird behauptet, ein Angreifer könne manipulierte verschlüsselte Nachrichten so gestalten, dass trotz eines Entschlüsselungsfehlers verwertbarer Klartext ausgegeben werde.
• Voraussetzung: Empfänger:innen ignorieren eine explizite Fehlermeldung von gpg und arbeiten dennoch mit den ausgegebenen Daten weiter.
• Einordnung: Unter diesen Voraussetzungen liegt kein Programmfehler vor.

1. Behauptung laut gpg.fail

In the interest of a timely disclosure, we cannot provide an refined end-to-end demonstration of the issue. However, under the following assumptions we can demonstrate relevant parts of the attack. In combination with the buggy code pointed out above, we believe that there is sufficient risk of a serious vulnerability to warrant investigation and fixes by GnuPG maintainers.

We assume that:

• We have access to the encrypted data
• The encrypted data is exactly 64 bytes of total entropy
• Bob uses GnuPG 2.4.8
• Bob has no non-standard config and uses head -c64 /dev/urandom | gpg -e -r online to encrypt his data

Deutsche Übersetzung:

Im Interesse einer zeitnahen Veröffentlichung können wir keine vollständige End-to-End-Demonstration des Problems liefern. Unter den folgenden Annahmen können wir jedoch relevante Teile des Angriffs demonstrieren.

Wir gehen davon aus, dass:

• Zugriff auf die verschlüsselten Daten besteht,
• die verschlüsselten Daten exakt 64 Byte Entropie enthalten,
• Bob GnuPG 2.4.8 verwendet,
• Bob keine abweichende Konfiguration nutzt und die Daten mit head -c64 /dev/urandom | gpg -e -r online verschlüsselt.

2. Beschriebenes Angriffsszenario

Zur Erläuterung der behaupteten Auswirkungen wird auf der Webseite ein Angriffsszenario beschrieben.

Mallory is an attacker who either later gets access to an encrypted message, or as as an active MITM. Mallory's goal is to decrypt an encrypted message that Alice encrypted for Bob.

• Alice has Bob's public key
• Alice encrypts the plaintext "SECRET" to Bob's public key, and sends the ciphertext as a PGP message to Bob.
• Mallory gets access to the encrypted message, and would like to decrypt it, so Mallory modifies the message to be a public key.
• Mallory sends Bob the modified message, asking for a signature on the public key—a common not suspicious action for PGP users.
• Bob decrypts and signs the apparent public key, and publishes the signature along with the public key to a keyserver.
• Mallory fetches the key from the keyserver and retrieves the accidentally decrypted plaintext

Deutsche Übersetzung:

Mallory ist ein Angreifer, der entweder nachträglich Zugriff auf eine verschlüsselte Nachricht erhält oder als aktiver Man-in-the-Middle agiert. Mallorys Ziel ist es, eine Nachricht zu entschlüsseln, die Alice für Bob verschlüsselt hat.

• Alice besitzt Bobs öffentlichen Schlüssel.
• Alice verschlüsselt den Klartext „SECRET“ mit Bobs öffentlichem Schlüssel und sendet die verschlüsselte Nachricht als PGP-Nachricht an Bob.
• Mallory erhält Zugriff auf die verschlüsselte Nachricht und manipuliert sie so, dass sie wie ein öffentlicher Schlüssel aussieht.
• Mallory sendet Bob die manipulierte Nachricht und bittet ihn, den angeblichen öffentlichen Schlüssel zu signieren – ein für PGP-Nutzer:innen üblicher und nicht verdächtig wirkender Vorgang.
• Bob entschlüsselt den vermeintlichen öffentlichen Schlüssel, signiert ihn und veröffentlicht die Signatur zusammen mit dem öffentlichen Schlüssel auf einem Keyserver.
• Mallory ruft den Schlüssel vom Keyserver ab und erhält dadurch den unbeabsichtigt entschlüsselten Klartext.

3. Einschränkungen und Annahmen des Angriffs

Soweit wir der Darstellung entnehmen können, basiert der Angriff im Wesentlichen darauf, dass Mallory Bob eine manipulierte Nachricht zusendet und ihn um eine Signatur für den öffentlichen Schlüssel bittet – ein für PGP-Nutzer:innen üblicher und nicht verdächtig wirkender Vorgang. Bob entschlüsselt den vermeintlichen öffentlichen Schlüssel, signiert ihn und stellt die Signatur zusammen mit dem öffentlichen Schlüssel auf einen Keyserver.

Allerdings ignoriert Bob dabei, dass die Entschlüsselung fehlgeschlagen ist, und signiert damit etwas, bei dem er sich nicht sicher sein kann, was er überhaupt unterschreibt. Der Zweck hinter authentifizierter Verschlüsselung (AD) – entweder mittels CFB+MDC (seit Version 1.0.2 im Jahr 2000) oder OCB (seit Version 2.3.0 im Jahr 2021) – besteht genau darin, eine derart veränderte verschlüsselte Nachricht zu erkennen.

4. Weitere Behauptungen zur Fehlerbehandlung und Einordnung

In der Angriffsbeschreibung wird weiter ausgeführt:

1. Packets can be modified by an attacker to output a failure that appears harmless to the user, such as truncation, and
2. it does not discard inputs known to be a security problem and continues processing the data.

Deutsche Übersetzung:

1. Pakete können von einem Angreifer so verändert werden, dass ein Fehler ausgegeben wird, der für den Benutzer harmlos erscheint, etwa eine Verkürzung, und
2. es verwirft Eingaben, von denen bekannt ist, dass sie ein Sicherheitsproblem darstellen, nicht, sondern verarbeitet die Daten weiter.

Diese Darstellung setzt voraus, dass eine von gpg ausgegebene Fehlermeldung gezielt verharmlost oder ignoriert wird. Die in diesem Zusammenhang genannte Meldung lautet:

gpg: decryption failed: Invalid packet

Das „erscheint für den Benutzer harmlos“ setzt somit Social Engineering voraus, um diese Fehlermeldung kleinzureden oder wegzudiskutieren.

Die Aussage, GnuPG würde problematische Eingaben nicht verwerfen, beruht zudem auf einem Missverständnis der Arbeitsweise von Unix-Werkzeugen. Ein klassisches Unix-Werkzeug schreibt nicht zwingend direkt in eine Datei, sondern arbeitet häufig in einer Pipeline. Daten, die bereits an die Ausgabe geschrieben wurden, können nachträglich nicht mehr zurückgenommen werden. Erst nach vollständiger Verarbeitung kann festgestellt werden, ob die Daten insgesamt gültig waren.

Spezialisierte Anwendungen oder grafische Oberflächen können hier anders reagieren. Sie puffern die entschlüsselten Daten vollständig und fragen vor dem Speichern nach. So wird sichergestellt, dass fehlerhafte Daten nicht weiterverwendet werden.

Unter diesen Voraussetzungen liegt kein Programmfehler vor.

• Unser Ticket: https://dev.gnupg.org/T7906
• Status: behoben am 6. November 2025 für VSD, am 19. November 2025 für 2.5 und am 30. Dezember 2025 für 2.4
• Beschreibung: Bei diesem Fehler kann maximal ein einzelnes Byte überschrieben werden. Dieses Byte könnte den Anfang des nächsten Blocks im Heap betreffen und dabei das dort üblicherweise verwendete Tag verändern.
• Einordnung: Abhängig von der jeweiligen malloc(3)-Implementierung wäre es vor etwa 20 Jahren unter Umständen noch möglich gewesen, daraus einen Exploit zu entwickeln. Heute ist dies jedoch ausgeschlossen: Moderne malloc-Implementierungen überprüfen Pointer und Größen konsistent und lösen bei Unstimmigkeiten einen harten Abbruch des Prozesses aus.

Selbst wenn es gelingen sollte, den nächsten Block im Heap gezielt zu beeinflussen, ist darüber – etwa über free() – keine Codeausführung möglich (vgl. „Vudo Malloc Tricks“, Phrack #57, 2001, https://phrack.org/issues/57/8.html).

• Einordnung: Die in diesem Zusammenhang erwähnten Beobachtungen beziehen sich auf minisign und nicht auf GnuPG. Sie betreffen weder die Funktionalität noch die Sicherheit von GnuPG und fallen daher nicht in unseren Verantwortungsbereich.

• Unser Ticket: https://dev.gnupg.org/T7901
• Status: kein Programmfehler (Social Engineering, falsche Nutzung von Cleartext-Signaturen und notwendige Änderungen am Userinterface, siehe Hinweis oben)
• Einordnung: Die betroffene Funktionalität wurde in GnuPG 2.5.16 als obsolet markiert. Sie kann nur noch mit einem speziellen Flag überprüft werden und war Teil eines Release-Prozesses, der heute nicht mehr verwendet wird.

• Unser Ticket: https://dev.gnupg.org/T7902
• Status: kein Programmfehler (Social Engineering, falsche Nutzung von Cleartext-Signaturen und notwendige Änderungen am Userinterface, siehe Hinweis oben)
• Beschreibung: In dem beschriebenen Szenario wird das Format einer Cleartext-Signatur manipuliert, indem im Header -----BEGIN PGP SIGNED MESSAGE------ ein zusätzliches Minuszeichen enthalten ist.
• Voraussetzung: Nutzer:innen prüfen die signierte Ausgabe nicht und akzeptieren die manipulierte Struktur.
• Einordnung: Die beschriebene Verwechslung setzt Social Engineering voraus und beruht auf einer nicht vorgesehenen Nutzung von Cleartext-Signaturen.

Ergänzende technische Einordnung

Damit dieses Szenario greift, müssen Nutzer:innen die Eingabedaten betrachten, ohne zu bemerken, dass der Header der Cleartext-Signatur minimal, aber gezielt verändert wurde. Ein zusätzliches Minuszeichen kann dabei leicht übersehen werden.

Gerade aus diesem Grund ist es wichtig, sich nicht auf die Eingabedaten zu verlassen, sondern die von gpg erzeugte Ausgabe zu prüfen. Wie bereits oben beschrieben, lässt sich dies durch die Nutzung von --output zuverlässig sicherstellen.

• Unser Ticket: https://dev.gnupg.org/T7909
• Status: kein Programmfehler (Social Engineering, falsche Nutzung von Cleartext-Signaturen und notwendige Änderungen am Userinterface, siehe Hinweis oben)
• Beschreibung: In diesem Szenario enthalten die verschlüsselten Daten selbst eine gefälschte Erfolgsmeldung von gpg, die wie eine erfolgreiche Signaturprüfung aussieht.
• Voraussetzung: Nutzer:innen müssen diese Meldung als vertrauenswürdig ansehen, ohne das tatsächliche Ergebnis der Signaturprüfung zu beachten.
• Einordnung: Die Irreführung beruht auf gezieltem Social Engineering und darauf, dass die Ausgabe der signierten Daten nicht geprüft wird. Ein Fehler in der Signaturprüfung selbst liegt hierbei nicht vor.

• Unser Ticket: https://dev.gnupg.org/T7900
• Status: kein Programmfehler (Social Engineering, falsche Nutzung von Cleartext-Signaturen und notwendige Änderungen am Userinterface, siehe Hinweis oben)
• Beschreibung: In dem beschriebenen Szenario wird der Eindruck einer gültigen Cleartext-Signatur erweckt, obwohl der tatsächlich geprüfte Inhalt davon abweicht.
• Voraussetzung: Nutzer:innen betrachten die ursprüngliche Eingabe, nicht jedoch die von gpg validierte Ausgabe der Signaturprüfung.
• Einordnung: Die Irreführung entsteht ausschließlich dadurch, dass die geprüfte Ausgabe der Signaturprüfung nicht beachtet wird. Sie setzt gezieltes Social Engineering sowie eine nicht vorgesehene Nutzung von Cleartext-Signaturen voraus.

• Unser Ticket: https://dev.gnupg.org/T7905
• Status: kein Programmfehler (Social Engineering, falsche Nutzung von Cleartext-Signaturen und notwendige Änderungen am Userinterface, siehe Hinweis oben)
• Beschreibung: In dem beschriebenen Szenario werden Daten so manipuliert, dass signierte und nicht signierte Daten nebeneinander erscheinen.
• Voraussetzung: Nutzer:innen müssen bei der Entschlüsselung eine von gpg ausgegebene Fehlermeldung ignorieren und sich dennoch auf die angezeigten Daten verlassen.
• Einordnung: Eine erfolgreiche Ausnutzung setzt voraus, dass die ausgegebene Fehlermeldung bewusst ignoriert wird.

• Unser Ticket: https://dev.gnupg.org/T7904
• Status: behoben am 22. Oktober 2025
• Beschreibung: Durch einen Programmfehler konnte GnuPG den verwendeten Hash-Algorithmus auf SHA-1 herabstufen.
• Einordnung: Es handelt sich hierbei um einen tatsächlichen Programmfehler. Um diesen Bug praktisch auszunutzen, wäre jedoch ein Second-Preimage-Angriff auf SHA-1 erforderlich. Ein solcher Angriff ist für SHA-1 derzeit nicht möglich.

• Status: kein Programmfehler (Social Engineering, siehe Hinweis oben)
• Beschreibung: In dem beschriebenen Szenario wird behauptet, dass manipulierte Trust-Pakete im Keyring dazu führen könnten, dass zusätzliche Subkeys berücksichtigt werden.
• Voraussetzung: Nutzer:innen müssen dazu gebracht werden, einen für sie nicht verständlichen und bösartigen Befehl auf der Kommandozeile auszuführen.
• Einordnung: Der Angriff setzt voraus, dass Nutzer:innen einen manipulierten Keyring aus einer externen Quelle übernehmen und diesen anschließend für kryptografische Operationen verwenden, um mit darin enthaltenen, manipulierten Zertifikaten zu verschlüsseln.

Im normalen Einsatz werden öffentliche Schlüssel oder Zertifikate ausgetauscht, nicht jedoch vollständige Keyrings. Das dargestellte Szenario ist daher nur unter gezielten Social-Engineering-Annahmen relevant und erfordert eine Nutzung der Kommandozeile außerhalb der vorgesehenen Anwendungsfälle.

• Einordnung: Die in diesem Zusammenhang erwähnten Beobachtungen beziehen sich auf minisign und nicht auf GnuPG. Sie betreffen weder die Funktionalität noch die Sicherheit von GnuPG und fallen daher nicht in unseren Verantwortungsbereich.