Gat gevonden in PGP e-mail beveiliging

Ikarus schrijft: "E-mails die zijn beveiligd met PGP zijn misschien helemaal niet veilig. Het zit hem in het feit dat de PGP public key's op openbare servers zijn opgeslagen open voor hackers die de key's net zo wijzigen dat hij ze kan lezen. Deze exploit is zo ver bekend nog niet gebruikt maar kan natuurlijk al wel zo zijn dat er e-mails zijn bekeken, maar dat de hackers er niks mee hebben gedaan.":

The flaw lies in an attacker's ability to tamper with the key, which is often stored on public servers. An email created using a modified key can be read by the attacker.

The bug was detected this morning during a "peer review" of the code of the software, Wallach said.

There was no known case of the flaw being exploited, but Brad Arkin at computer-security consultancy Reliable Software, in Dulles, Va., said any email eavesdropping may have gone unnoticed.

"The potential exists that bad guys have been taking advantage of this for some time," he said.

PGP software versions 5.5 and up are vulnerable, according to PGP Security.

Je kunt nog wat meer informatie bij CERT vinden. Er wordt verwacht dat deze ochtend een nieuwe PGP 6.5.X release wordt vrijgegeven die het gat in de beveiliging aanpakt.

Door Tweakers.net Nieuwsposter

Feedback • 25-08-2000 11:37 13

25-08-2000 • 11:37

13

Bron: C|net

Lees meer

Bugs in GnuPG zorgen voor veiligheidsproblemen
Bugs in GnuPG zorgen voor veiligheidsproblemen Nieuws van 12 maart 2006
Zimmermann vraagt NAI om PGP open source te maken
Zimmermann vraagt NAI om PGP open source te maken Nieuws van 4 juli 2002
Network Associates staakt zoektocht naar PGP koper
Network Associates staakt zoektocht naar PGP koper Nieuws van 9 maart 2002
Securitybug in PGP gevonden
Securitybug in PGP gevonden Nieuws van 6 september 2001
Artikel over beveiliging van websites
Artikel over beveiliging van websites Nieuws van 7 januari 2001
Japanse politie mag email aftappen
Japanse politie mag email aftappen Nieuws van 15 augustus 2000
Export PGP encryptie eindelijk toegestaan
Export PGP encryptie eindelijk toegestaan Nieuws van 14 december 1999
M$-word virus steelt PGP sleutels
M$-word virus steelt PGP sleutels Nieuws van 6 februari 1999
Meer producten en artikelen
Software

Reacties (13)

-Moderatie-faq
13
12
8
1
0
0
Wijzig sortering
Anoniem: 859 25 augustus 2000 11:43
1. Het zijn geen hackers die dit gebruiken.. maar de "overheid".. Hun hebben geeist dat de ADK (alternative decryption key) gesupport wordt. Deze key is dus te exploiten. Niet de normale key.

2. Niet alle PGP's zijn te exploiten. GnuPGP bijvoorbeeld niet..

3. De "key" zelf wordt niet geexploiteerd, maar er wordt een additionele key toegevoegd aan de key. Met deze key (de ADK) kan dus de meeltjes ook worden gedecrypt..

4. De exploit is ALLLAAAAAANG gebruikt.. da's namelijk de enige reden waarom die ADK in PGP is gebakken..

5. Heeft slashdot een lag van 24 uur op tweakers?
tazitiz @Anoniem: 85925 augustus 2000 11:57
eeh
1. De overheid huurt ook hackers in (als we in amerikaanse termen en ideologieen gaan denken). Het hacken van een pgp mail kan gedaan worden als je eerst een pgp mail kan krijgen. dit op zich is niet al te simpel, je moet op een mailserver mailboxen eerst binnen kunnen komen, of de queues kunnen bekijken en deze mailtjes eventueel opslaan. Dat het meestal de politie, bvd of andere overheidsorganisaties zijn die dit doen, betekend niet dat alleen de overheid dit doet. Overigens het grootste belang van het decrypten is niet om b.v. drugscriminelen te traceren, maar om kinderporno tegen te gaan. In NL dan.

buiten hackers en de regering, wat doet jou ISP met jou mail als die wel of niet gepgpt is ?

4. dat de adk in pgp zit is een keuze van de auteur. voor de leken onder ons, je kan de adk vergelijken met een hoofdsleutel, waar bijvoorbeeld de schoonmaakster in een hotel alle deuren mee kan openen, de gasten (pgp gebruikers) hebben hun eigen sleutel waar ze alleen hun eigen hotelkamer (pgp mail) in kunnen. dit is wel de simpele uitleg natuurlijk.

5. Als tweakers hetzelfde budget als slashdot had, zou die lag wel lager zijn denk ik ? Persoonlijk vindt ik dit de charme van tweakers, dat er geen groot bedrijf / pusher achter deze "community" zit en dus kan tweakers (vnl Femme natuurlijk) zelf de policies bepalen.

maar verder vindt ik dat je wel gelijk hebt :)
Anoniem: 859 @tazitiz25 augustus 2000 12:03
1. Buiten hackers en de regering, wat doet jou ISP met jou mail als die wel of niet gepgpt is ?
Euh.. kheb chello.. nuff said? :)
Wie er nou daadwerkelijk hier van gebruik maakt is natuurlijk nooit uit te zoeken. Feit is dat de makers van PGP verplicht de ADK hebben moeten toevoegen. En natuurlijk doet een "overheid" dat niet zonder reden..

4. dat de adk in pgp zit is een keuze van de auteur.
Dat is nou dus de feitelijke exploit.. Je kunt dus een eigen ADK aan een bestaande sleutel toevoegen.. en dat is niet de keuze van de auteur.

5. Als tweakers hetzelfde budget als slashdot had, zou die lag wel lager zijn denk ik ?
K.. is het het ook wel.. maar valt me wel gewoon op dat sommige (belangrijke) nieuws items dagen later verschijnen terwijl er wel meteen een posting gesubmit wordt over hoe ik een extra 0.145 framerate acceleratie kan verkrijgen in kweek door middel van de stand van de maan.. (om maar eens een nutteloze posting te noemen).. maar goed.. da's een kwestie van smaak waarschijnlijk.
picobyte @Anoniem: 85926 augustus 2000 21:39
De overheden vinden het gewoon een beetje eng dat cryptografie niet meer alleen een spionnenspeeltje is }>

* JayTaph
[i] 1. Het zijn geen hackers die dit gebruiken.. maar de "overheid".. Hun hebben geeist [i]

hunnebedden heb je in drente ;)
het moet zijn die maaruh 'k geef toe ik schrijf zelf ook niet altijd voutloos ;)
Anoniem: 4807 @Anoniem: 85926 augustus 2000 17:14
5. Helaas voor tweakers.net, maar dit berichtje stond ook al in Computer Totaal van juli/augustus. Dus dat nieuws is al zo'n 2 maanden oud. Dat slashdot het nog later heeft is dus wel heel bizar
Anoniem: 5439 25 augustus 2000 11:40
Mooi !

Kijk geen enkel pakket is 100% safe
ook PGP niet.
Het mooie is dat deze fout / misser nu bekent is
nu kan dit gat dus dicht en maakt PGP dus nog veiliger als het al is :)

aldoende leert men }>
Anoniem: 3238 @Anoniem: 543925 augustus 2000 16:42
hmm, maar PGP staat ook voor
Pretty Good Privacy
dus ze claimen ook niet 100% safe te zijn, alleen redelijk safe :)
HighLander @Anoniem: 543926 augustus 2000 22:34
"Al doende leert men...."
Wat hebben ze dan bij bepaalde, (laten we ze hier niet bij naam noemen) bedrijven dan nu al een hoop geleerd he, met al die updates en patches.


En wat hebben ze dan ook een hoop gedaan.
;r
The Source 25 augustus 2000 11:51
Een jaar geleden zat er ook al een **erg** groot gat in PGPdisk. Iedereen kon een encrypted disk eigenlijk gewoon lezen terwijl je je veilig waande :(
Gelukkig was die bug snel opgelost.
picobyte @The Source26 augustus 2000 21:48
Gelukkig was die bug snel opgelost.
Door un hacker met een del * commando :o
Centurion183 25 augustus 2000 12:08
Kunnen ze de mails niet met eeen soort RC5 code beveiligen, dan kunnen we die ook misschien gaan kraken met onze koetjes. :)
Oh, ik heb nog niks grazen. :( komt nog wel
Booster 25 augustus 2000 17:24
Heel fijn dat jullie posten over dat ADK enzo...

Maar als jullie nou eens ff een link plaatsen waar je de juiste info kunt vinden over ADK's... Dan weet ik ook weer hoe veilig mijn data is snap je.

Op dit moment begrijp ik er maar 1 ding van:
- dat je, zelfs als je PGP gebruikt, de overheid nogsteeds ontzettend simpel mijn email kan lezen.

En dan heb ik het er niet over of ze dat wel of niet doen, of dat in de wet staat dat de overheid dat niet mag, maar of het MOGELIJK IS.

BTW: De laatste versies van PGP bevatten een stukje programmatuur dat PGPnet heet, en hiermee kun je 64bit encrypted TCP/IP verbindingen opzetten, ongeacht de service die daaroverheen gaat.
Enigste nadeel hiervan, is dat je ping flink omhoog gaat omdat je computer de pakketjes ook nog moet encrypten tussendoor.
Verwacht dus wel een ping van 500ms, maar ook een leuk beveiligde verbinding.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq