Autor: Bronek Kozicki (brok_at_rubikon.pl)
Data: Wed 21 Mar 2001 - 10:34:48 MET
<cofala_at_firma.hoga.pl> wrote in news:99841l$v7o$1_at_mars.hoga.pl...
> ps. Wykropkowałem nieważne dywagacje dziennikarskie.
> Całość: http://www.radiozet.pl/Info19716.html
Polecam raczej http://www.i.cz/en/onas/tisk4.html . Formę ataku dosyć
ogólnie wyjaśnia fragment:
"
The private signature key is the basic and the most sensitive information in
the whole system. The user is using it for digital signature. In all
systems, including OpenPGP, it is therefore protected by a strong cipher.
AES, one of the latest strong algorithms, has been used in the attacked
system. However, the protection appears to be illusory.
The authors proved that attackers do not need to attack the strong cipher
itself. They can simply bypass it as well as the secret user's passphrase. A
slight modification of the private key file followed by capturing a signed
message is enough to break the private key. These tasks can be performed
without knowledge of the user's passphrase.
"
Czyli atakowane są klucze prywatne, dokładniej - możliwa jest modyfikacja
klucza prywatnego bez znajomości hasła (passphrase). Oczywiście, trzeba
posiadać dostęp do miejsca przechowywania kluczy prywatnych. O ile wiem, PGP
nie umożliwia wykorzystania kart kryptograficznych, a być może byłby już na
to czas.
B.
To archiwum zostało wygenerowane przez hypermail 2.1.7 : Wed 19 May 2004 - 16:45:46 MET DST