Dziura w PGP

Oprogramowanie Pretty Good Privacy 5.0, przeznaczone dla systemów Linux i OpenBSD, nie szyfruje danych w sposób losowy.

Germano Caronni, specjalista ds. bezpieczeństwa systemów komputerowych w Sun Microsystems, poinformował o znalezieniu "dziury" w popularnym oprogramowaniu kryptograficznym Pretty Good Privacy. Odkrycie zweryfikowali również Thomas Roessler, student z Uniwersytetu w Bonn, oraz Marcel Waldvogel, jeden z profesorów amerykańskiego Uniwersytetu w St. Louis.

Program PGP 5.0 podczas generowania klucza szyfrującego nie stosuje liczby całkowicie losowych, lecz dobiera je z pewnego ustalonego przedziału. Fakt ten umożliwia prostsze złamanie zabezpieczeń i np. rozszyfrowanie przesyłanych poprzez sieć zakodowanych informacji. Wada oprogramowania ujawnia się jedynie w "tekstowej", uruchamianej z linii poleceń wersji PGP 5.0 dla systemów Linux i OpenBSD. Wersje na inne platformy oraz oznaczone numerami 2.x i 6.5 nie są dotknięte omawianą wadą.

Network Associates, która tworzy i rozpowszechnia już nową wersję PGP oznaczoną numerem 7.0, nie skomentowała na razie tych doniesień.


Zobacz również