Пароль контейнера висит в RAM-пямяти !!! ЭТО ПРОБЛЕМА
Господа, всем доброго дня!
Намедни прочел статейку в "Комьютербилде", там был обзор про криптосистемы. Так вот, PGP опустили ниже плинтуса... Сказали, что PGP хранит пароли от контейнеров в оперативке ДАЖЕ после закрытия контейнера! Я проверил... Млин......... И точно!
Я всегда был поклонником PGP Desktop Professional, юзаю последнюю версию и не нарадуюсь... После того как обнаружил казанную мягко говоря проблему, не знаю что и думать...
Ваше мнение?
Дима
комментариев: 11558 документов: 1036 редакций: 4118
И чего? Где такие настройки хранятся – не знаю, такого пункта настройки в Options нет. Есть только "Do not save my passphrase" (включено НЕ сохранять)...
Есть ещё "супер" (в кавычках) фишка, когда кликаешь на значке PGP в трее правой кнопкой мыши, выдается меню в котором есть пункт "Clear Caches". Для чего выводить отдельный пункт для очистки кэша – не понятно. Это очень не удобно, мне кажется это отмазка GPG на такой факап как хранение паролей в кэше...)))
Есть ещё соображения?
комментариев: 11558 документов: 1036 редакций: 4118
– Доктор, когда я вот так делаю [заламывает себе руку за спину], у меня плечо болит.
– Не делайте.
Ууухх...круто...)))
ОК. Понял, оставим этот вопрос на усмотрение создателей PGP...)))
Спасибо. Только Вы не ответили на вопрос: ГДЕ НАХОДИТСЯ НАСТРОЙКА А-ЛЯ Single sign-on ?
Мне кажется в версии 9.9.0 такой нет. Подскажите где – буду признателен...)))
комментариев: 11558 документов: 1036 редакций: 4118
Вот кусок этого теста: http://www.computerbild.ru/soft/27446/ Они непрофессионалы.
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 155 документов: 20 редакций: 5
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 155 документов: 20 редакций: 5
Вот пусть автор и напишет подробно, как он проверил, чтобы пользователи программы смогли повторить эксперимент.
ага, зато ставит проблему вероятности взлома токена
комментариев: 11558 документов: 1036 редакций: 4118
ДЛЯ НАЧАЛА ВВОДНАЯ: У МЕНЯ (Divitis) СТОИТ PGP 9.9.0...
А теперь приступим-с к разоблачению...))) Только не хмурьтесь, я бы ничего не написал если б сам не пощупал результат...
Порядок действия таков:
1) качаем софт указанный в статье Computerbild, чтобы Вам не мучиться, качайте софтину по ссылке http://slil.ru/26650622 (программа HxD v1.7.6.6)
2) Создаем супер-пупер PGP-диск, при этом вводим пароль (который естессссно помните...)
3) Открываете PGP-диск....
и......
ПРОВЕРКА (1)
Запускаем указанную софтинку HxD. Ищем пункт меню "Extras" -> "OpenRAM"->из списка выбираем нужную программу, в нашем случае PGPTray -> нажимаем нужный пункт и вуаля... появляются "внутренности" RAM.
Теперь выбираем пункт "Search" -> "Find" -> в окошке которое появится ставите галочки на пунктах "Unicode..." и "Case..." и справа отмечаем "искать везде" (All). ТЕПЕРЬ ВВОДИМ СВОЙ ПАРОЛЬ. Нажимаем кнопку ОК.... Все! Вуаля...:-))) Софтинка покажет нам пароль, причем в абсолютно раздетом виде...то есть без всяких там символов и прочего мусора, при этом до пароля будет такая страааааная надпись, типа pass либо password... Ась? Каково? :-)))
ПРОВЕРКА (2): закрываем наш супер-пупер PGP-диск...и естесссно повторяем операцию... Ответ будет тот же...:-)))
Кстати, иногда программа смело кричит что мол ничего не найдено...если нажать ещё раз на поиск – все равно найдет...))) В 90% случаев находила с первого раза!
И чего теперь прикажете делать? ))) Молчать?
Как говорится, "дорогу осилит идущий" либо "практика критерий истины". Каждый пусть выберет для себя нужный контекст.
А всем обиженным, с болезненным восприятием...можете не отвечать...)))
комментариев: 11558 документов: 1036 редакций: 4118
Кто-нибудь ещё может подтвердить? Если да, буду писать Калласу.