欢迎光临:天天彩票app
您现在的位置:主页 > 家用净水 > 净水机 >  > 正文

你的E-Hancock可以伪造

更新:2019-08-12 编辑:天天彩票app 来源:一起问道 热度:7936℃
华盛顿 - 一家捷克信息安全公司发现了Pretty Good Privacy的一个漏洞,该漏洞允许在某些情况下伪造数字签名。

PGP发明人Phil Zimmermann'现在,OpenPGP联盟的主管周三表示,他和Network Associates(NETA)的工程师证实了这个漏洞存在。

ICZ是一家拥有450名员工的布拉格公司,他说两名密码学家发现了一个OpenPGP格式的错误,允许闯入您计算机的对手伪造您的电子邮件签名。

Zimmermann和捷克工程师Vlastimil Klima和Tomas Rosa都指出了这个故障。不影响使用PGP加密的邮件。 OpenPGP程序 - 包括GNU Privacy Guard和更新版本的PGP - 使用不同的算法进行签名和加扰,只有数字签名方法存在风险。

PGP及其后代是目前最流行的e-世界上的邮件加密程序。没有人披露他们的消息加扰机制存在缺陷,但PGP所有者Network Associates去年8月遭遇尴尬,当时一位德国密码分析师披露了一个漏洞,允许攻击者欺骗PGP,使其无法正确编码秘密信息。

在这种情况下,希望冒充您的人需要访问您的密钥 - 通常存储在硬盘或软盘上 - 秘密修改它,然后获取您使用更改的密钥签名的消息。完成这些步骤后,该人员可以使用您的姓名对邮件进行数字签名。

“PGP或任何基于OpenPGP格式且没有任何额外完整性检查的程序将无法识别此类修改,并且将允许您使用损坏的密钥签署邮件,“ Rosa说,他在ICZ公司Decros工作。 Rosa说他用PGP 7.0.3证明了这个漏洞。

OpenPGP' s Zimmermann对这次攻击不屑一顾,并说它需要有人试图冒充你的身体或电子方式闯入你的计算机。

"'不是你的对手可以使用的攻击,除非你'不小心使用你的私钥,“齐默尔曼说。 “我们特别警告用户保护他们的私钥。那些不保护私钥的用户一直处于危险之中 - 这是常识。“

即使在Klima和Rosa发现这个故障之前,一个设法抓住某人的攻击者'私钥可以试图打破保护它的密码 - 许多人似乎依赖于可以被人或机器猜到的弱密码。

“它'不是现实的攻击,"齐默尔曼说。 “如果(对手)能够走得那么远,攻击就更糟糕了。”

攻击的工作原理是攻击数字签名算法'所谓的离散对数问题。 DSA密钥通常存储在名为secring.skr的文件中,Klima和Rosa发现他们可以成功地在其中插入替换密钥。

Network Associates没有回复电话或电子邮件询问是否他们有任何计划发布一个固定版本的PGP。

Klima说周四,他将在ICZ&#x27的网站上发布他们的漏洞利用的英文描述。 “我们向网络协会承诺,明天我们不会发布这些细节,”他说。

转载请注明转载地址:“http://www.pjlol.com/jiayongjingshui/jingshuiji/201908/1362.html ”。

上一篇:YouTube将直接链接到维基百科以打击阴谋理论
下一篇:没有了
无法在这个位置找到: sidebar.htm