PGP

Annonse


Nytt hull i PGP

PGPIkke før kom meldingen om at PGP ikke er vanntett i kombinasjon med Microsoft Outlook , så kommer dette: Den som sender en PGP-kryptert e-post kan lures til å dekode egne meldinger. Men det forutsetter at snokeren på en eller annen måte har fått fatt i algoritmen som er brukt for å skrive meldingen.

Narrespill

Metoden er kjent for å virke også på GNU Privacy Guard. Amatørspionen må først få tak i meldingen, og deretter overbevise avsenderen til å dekryptere meldingen. For å gjennomføre dette må avsenderen narres til å tro at han har fått svar på meldingen.

Fiks funker ikke

Rutinen bruker et sikkerhetshull som var i PGPs standardsversjon inntil i fjor. Fikser man dette hullet, blir kompatibiliteten bakover borte. Det fører til at flere produsenter av PGP-baserte krypteringsprogram ikke har tettet sikkerhetshullet.

Metoden kan bare brukes for å få dekodet en melding. Sikkerheten i selve programmet PGP er ikke berørt.

Nøye beskrevet

Forskerne Bruce Schneier i Counterpane Systems og Jonathan Katz fra University of Maryland fant sikkerhetshullet, som er nærmere beskrevet i dette dokumentet. Metoden vil bli mer nøyaktig presentert på en sikkerhetskonferanse i Sao Paulo senere i år.

Annonse


Annonse


Annonse


Annonse