Найдена «дыра» в самой популярной
криптографической программе PGP
В четверг, 24.08.2000 года, на сайте SlashDot.org
было опубликовано сообщение о том, что в популярной криптографической
программе PGP (Pretty Good Privacy) нашли «дыру».
Используя ее, можно создать модифицированную версию чьего-либо
публичного ключа, после распространения которой криптованные
письма сможет расшифровать как получатель, так и третьи лица.
В 1997 году Network Associates,
компания, создавшая PGP, под определенным нажимом правительственных
кругов вступила в Key Recovery
Alliance, международную организацию, занимающуюся вопросами
доступа третьих лиц к шифрованной информации. После этого
в программу PGP была встроена возможность добавлять к публичному
ключу дополнительный дешифрующий ключ (Additional Decryption
Key – ADK). Программа автоматически использует для шифрования
как обычный публичный ключ, так и ADK. Теперь эксперты обнаружили,
что некоторые версии PGP позволяют заинтересованным третьим
лицам проделывать следующее. Можно взять чей-то публичный
ключ PGP и вставить в него ADK таким образом, что этого никто
не заметит, если не сверит полученный из сомнительных источников
ключ с оригиналом или если не пересчитает в нем все байты.
После чего лицо, подделавшее ключ, сможет читать зашифрованную
модифицированным PGP-ключом переписку.
«Дыра» замечена в следующих версиях программы:
PGP-5.5.3i WINDOWS,
PGP-6.5.1i WINDOWS
Источник: Нетоскоп
Почитать более подробно об этой проблеме можно по следующим
ссылкам:
|