polip: Re: PGP nie jest juz bezpieczne?

Re: PGP nie jest juz bezpieczne?

Autor: Pawel Krawczyk (anti_kravietz_at_ceti.pl)
Data: Wed 21 Mar 2001 - 20:13:16 MET

Następna wiadomość: Dariusz: "Re: SDI"
Poprzednia wiadomość: Dariusz: "Re: internet via europeonline"
W odpowiedzi na: Marcin Jagodzinski: "Re: PGP nie jest juz bezpieczne?"
Następna w wątku: Dariusz: "Re: PGP nie jest juz bezpieczne?"
Odpowiedz: Dariusz: "Re: PGP nie jest juz bezpieczne?"
Odpowiedz: Krzysztof Halasa: "Re: PGP nie jest juz bezpieczne?"
Wiadomości sortowane wg: [ datay ] [ wątku ] [ tematu ] [ autora ] [ załącznik ]

Marcin Jagodzinski <pisz_na_adres_z_reply_to_at_webcorp.com.pl> wrote:

>>CZY ODKRYTO KOLEJNĄ DZIURĘ W PGP?
>> Czescy kryptologowie z firmy Decros ogłosili dzisiaj odkrycie poważnego
>> błędu w PGP, umożliwiającego odzyskanie prywatnego klucza użytkownika
>> programu [...]
> Paweł, a z czego można ten klucz odzyskać? Bo coś nie rozumiem?

Jakbym wiedział, to nie pisałbym takimi ogólnikami ;) Wycisnąłem co
się dało z informacji ICZ. Ale na Wired [1] niezawodny Declan McCullagh
wyciągnął trochę więcej informacji od Zimmermana:

   In this case, someone wishing to impersonate you would need to gain
   access to your secret key -- usually stored on a hard drive or a
   floppy disk -- surreptitiously modify it, then obtain a message you
   signed using the altered secret key. Once those steps are complete,
   that person could then digitally sign messages using your name.

   "PGP or any program based on the OpenPGP format that does not have any
   extra integrity check will not recognize such modification and it will
   allow you to sign a message with the corrupted key,"

To kolejna z bólami urodzona informacja na temat dziury w programie PGP,
która wywołała na świecie masę niezasłużonej sensacji. We mnie to budzi
pewien niesmak ;-\ bo zamiast po bożemu napisać na Bugtraq że jest tak
i tak, to ci tylko zaciemniają sytuację. Ale faktem jest, że ludzi od
public-relations mają niezłych - zrobili wokół firmy ICZ wrzawę na cały
świat. I dlatego następnym razem na ipsec.pl w takich przypadkach nie będę
podawał nazwy firmy, dopóki nie będzie wiadomo że nie jest to kolejny
,,publicity attack'' [2].

[1] http://www.wired.com/news/politics/0,1283,42553,00.html
[2] określenie Bruce Schneiera na firmy, rozdymające niezbyt poważne
ataki do astronomicznych rozmiarów w celach reklamowych

-- 
Paweł Krawczyk *** home: <http://ceti.pl/~kravietz/>
security: <http://ipsec.pl/>  *** fidonet: 2:486/23

Następna wiadomość: Dariusz: "Re: SDI"
Poprzednia wiadomość: Dariusz: "Re: internet via europeonline"
W odpowiedzi na: Marcin Jagodzinski: "Re: PGP nie jest juz bezpieczne?"
Następna w wątku: Dariusz: "Re: PGP nie jest juz bezpieczne?"
Odpowiedz: Dariusz: "Re: PGP nie jest juz bezpieczne?"
Odpowiedz: Krzysztof Halasa: "Re: PGP nie jest juz bezpieczne?"
Wiadomości sortowane wg: [ datay ] [ wątku ] [ tematu ] [ autora ] [ załącznik ]

To archiwum zostało wygenerowane przez hypermail 2.1.7 : Wed 19 May 2004 - 16:45:47 MET DST