Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 13 reacties
Bron: C|net

Ikarus schrijft: "E-mails die zijn beveiligd met PGP zijn misschien helemaal niet veilig. Het zit hem in het feit dat de PGP public key's op openbare servers zijn opgeslagen open voor hackers die de key's net zo wijzigen dat hij ze kan lezen. Deze exploit is zo ver bekend nog niet gebruikt maar kan natuurlijk al wel zo zijn dat er e-mails zijn bekeken, maar dat de hackers er niks mee hebben gedaan.":

The flaw lies in an attacker's ability to tamper with the key, which is often stored on public servers. An email created using a modified key can be read by the attacker.

The bug was detected this morning during a "peer review" of the code of the software, Wallach said.

There was no known case of the flaw being exploited, but Brad Arkin at computer-security consultancy Reliable Software, in Dulles, Va., said any email eavesdropping may have gone unnoticed.

"The potential exists that bad guys have been taking advantage of this for some time," he said.

PGP software versions 5.5 and up are vulnerable, according to PGP Security.

Je kunt nog wat meer informatie bij CERT vinden. Er wordt verwacht dat deze ochtend een nieuwe PGP 6.5.X release wordt vrijgegeven die het gat in de beveiliging aanpakt.

Moderatie-faq Wijzig weergave

Reacties (13)

1. Het zijn geen hackers die dit gebruiken.. maar de "overheid".. Hun hebben geeist dat de ADK (alternative decryption key) gesupport wordt. Deze key is dus te exploiten. Niet de normale key.

2. Niet alle PGP's zijn te exploiten. GnuPGP bijvoorbeeld niet..

3. De "key" zelf wordt niet geexploiteerd, maar er wordt een additionele key toegevoegd aan de key. Met deze key (de ADK) kan dus de meeltjes ook worden gedecrypt..

4. De exploit is ALLLAAAAAANG gebruikt.. da's namelijk de enige reden waarom die ADK in PGP is gebakken..

5. Heeft slashdot een lag van 24 uur op tweakers?
eeh
1. De overheid huurt ook hackers in (als we in amerikaanse termen en ideologieen gaan denken). Het hacken van een pgp mail kan gedaan worden als je eerst een pgp mail kan krijgen. dit op zich is niet al te simpel, je moet op een mailserver mailboxen eerst binnen kunnen komen, of de queues kunnen bekijken en deze mailtjes eventueel opslaan. Dat het meestal de politie, bvd of andere overheidsorganisaties zijn die dit doen, betekend niet dat alleen de overheid dit doet. Overigens het grootste belang van het decrypten is niet om b.v. drugscriminelen te traceren, maar om kinderporno tegen te gaan. In NL dan.

buiten hackers en de regering, wat doet jou ISP met jou mail als die wel of niet gepgpt is ?

4. dat de adk in pgp zit is een keuze van de auteur. voor de leken onder ons, je kan de adk vergelijken met een hoofdsleutel, waar bijvoorbeeld de schoonmaakster in een hotel alle deuren mee kan openen, de gasten (pgp gebruikers) hebben hun eigen sleutel waar ze alleen hun eigen hotelkamer (pgp mail) in kunnen. dit is wel de simpele uitleg natuurlijk.

5. Als tweakers hetzelfde budget als slashdot had, zou die lag wel lager zijn denk ik ? Persoonlijk vindt ik dit de charme van tweakers, dat er geen groot bedrijf / pusher achter deze "community" zit en dus kan tweakers (vnl Femme natuurlijk) zelf de policies bepalen.

maar verder vindt ik dat je wel gelijk hebt :)
1. Buiten hackers en de regering, wat doet jou ISP met jou mail als die wel of niet gepgpt is ?
Euh.. kheb chello.. nuff said? :)
Wie er nou daadwerkelijk hier van gebruik maakt is natuurlijk nooit uit te zoeken. Feit is dat de makers van PGP verplicht de ADK hebben moeten toevoegen. En natuurlijk doet een "overheid" dat niet zonder reden..

4. dat de adk in pgp zit is een keuze van de auteur.
Dat is nou dus de feitelijke exploit.. Je kunt dus een eigen ADK aan een bestaande sleutel toevoegen.. en dat is niet de keuze van de auteur.

5. Als tweakers hetzelfde budget als slashdot had, zou die lag wel lager zijn denk ik ?
K.. is het het ook wel.. maar valt me wel gewoon op dat sommige (belangrijke) nieuws items dagen later verschijnen terwijl er wel meteen een posting gesubmit wordt over hoe ik een extra 0.145 framerate acceleratie kan verkrijgen in kweek door middel van de stand van de maan.. (om maar eens een nutteloze posting te noemen).. maar goed.. da's een kwestie van smaak waarschijnlijk.
De overheden vinden het gewoon een beetje eng dat cryptografie niet meer alleen een spionnenspeeltje is }>

* JayTaph
[i] 1. Het zijn geen hackers die dit gebruiken.. maar de "overheid".. Hun hebben geeist [i]

hunnebedden heb je in drente ;)
het moet zijn die maaruh 'k geef toe ik schrijf zelf ook niet altijd voutloos ;)
5. Helaas voor tweakers.net, maar dit berichtje stond ook al in Computer Totaal van juli/augustus. Dus dat nieuws is al zo'n 2 maanden oud. Dat slashdot het nog later heeft is dus wel heel bizar
Mooi !

Kijk geen enkel pakket is 100% safe
ook PGP niet.
Het mooie is dat deze fout / misser nu bekent is
nu kan dit gat dus dicht en maakt PGP dus nog veiliger als het al is :)

aldoende leert men }>
hmm, maar PGP staat ook voor
Pretty Good Privacy
dus ze claimen ook niet 100% safe te zijn, alleen redelijk safe :)
"Al doende leert men...."
Wat hebben ze dan bij bepaalde, (laten we ze hier niet bij naam noemen) bedrijven dan nu al een hoop geleerd he, met al die updates en patches.


En wat hebben ze dan ook een hoop gedaan.
;r
Een jaar geleden zat er ook al een **erg** groot gat in PGPdisk. Iedereen kon een encrypted disk eigenlijk gewoon lezen terwijl je je veilig waande :(
Gelukkig was die bug snel opgelost.
Gelukkig was die bug snel opgelost.
Door un hacker met een del * commando :o
Kunnen ze de mails niet met eeen soort RC5 code beveiligen, dan kunnen we die ook misschien gaan kraken met onze koetjes. :)
Oh, ik heb nog niks grazen. :( komt nog wel
Heel fijn dat jullie posten over dat ADK enzo...

Maar als jullie nou eens ff een link plaatsen waar je de juiste info kunt vinden over ADK's... Dan weet ik ook weer hoe veilig mijn data is snap je.

Op dit moment begrijp ik er maar 1 ding van:
- dat je, zelfs als je PGP gebruikt, de overheid nogsteeds ontzettend simpel mijn email kan lezen.

En dan heb ik het er niet over of ze dat wel of niet doen, of dat in de wet staat dat de overheid dat niet mag, maar of het MOGELIJK IS.

BTW: De laatste versies van PGP bevatten een stukje programmatuur dat PGPnet heet, en hiermee kun je 64bit encrypted TCP/IP verbindingen opzetten, ongeacht de service die daaroverheen gaat.
Enigste nadeel hiervan, is dat je ping flink omhoog gaat omdat je computer de pakketjes ook nog moet encrypten tussendoor.
Verwacht dus wel een ping van 500ms, maar ook een leuk beveiligde verbinding.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True