Заветная дверца в PGP
PGP это все конечно очень хорошо. Мне нравится. НО
вроде как есть в этой системе потайная дверца для правительства и ФБР.
Но если так, то как же секретность, защищенность, защищенность от маски-шоу и их последствий. Тот же контейнер отдадут властям и вскроют. (
Отпишитесь, кто знатоки по этой теме.
комментариев: 11558 документов: 1036 редакций: 4118
Слухов много по Сети ходит, но к каждому первому лучше не прислушиваться. А то можно и не такое вспомнить. Впрочем, касаемо PGP, от этих слухов старой затхлостью и плесенью попахивает.
Четыре года назад много шума наделала новость о выявленной в PGP ошибке по формированию пакета OpenPGP и тэга присоединённого ADK (см. http://www.pgpru.com/faq/tech.htm#pgptech_4 и в Документах в Архиве проекта, http://old.pgpru.com ), когда при незначительной модификации содержимого тэга PGP не проверял надлежащим образом цифровую подпись закрытого ключа, санкционирующую этот ADK. Таким образом, злоумышленник потенциально имел возможность присоединить к ключу жертвы так называемый ADK "для входящих", благодаря чему все сообщения, шифруемые ключом жертвы, зашифровывались бы и ключом взломщика.
Поговаривали, что эта уязвимость была намеренной "закладкой" со стороны Network Associates, NAI, бывшего разработчика и правообладателя на марку PGP. Якобы на NAI, в то время входившую в Key Recovery Alliance, индустриальный союз, поддерживавший инициативу правительства США по тотальному внедрению систем депонирования криптографических ключей, надавило АНБ, и те решили услужить им таким интересным способом.
На самом деле эта уязвимость была по сути неприменима для практического использования. Во-первых, ADK взломщика должен присутствовать на связке отправителя сообщения, во-вторых, должен быть заверен отправителем как достоверный, в-третьих, взломщик должен перехватить зашифрованное письмо в процессе передачи, чтобы иметь возможность его расшифровать. Чтобы АНБ предложило такую абсурдную схему? Полный бред.
Над чем бы я действительно задумался, так это над использованием седьмых версий PGP, когда NAI закрыла исходный код программы... А потом Циммерман ушёл из команды NAI PGP Devision (не из разработчиков! — он написал только PGP 1.0, над всеми последующими работали другие люди, он лишь консультировал)... А потом случилось 11 сентября...
На сегодня мне эта тема кажется совершенно неактуальной. Вот если PGPCorp, нынешний разработчик, где трудятся и Каллас, и Прайс, и Циммерман со Шнайером (в консультативном совете), и другие отцы-основатели, вдруг закроет исходники PGP, тогда действительно будет о чём поговорить. Но в любом случае есть альтернатива в виде GnuPG. Не пропадём...
Встроенные подписи для пакетов, системы сертификации исходников для разработчиков, ключи служб безопасности
и т.д. уже давно переведены на GnuPG. Впервую очередь по лицензионным соображениям.
Ведь, насколько известно, исходники PGP, хотя и доступны, но не относятся к
GPL-подобной лицензии? И если PGPcorp захочет прикрыть этот проект или начнет
коммерческие игры с перепродажей (а что-то похожее уже было), то пользователям
будет некуда деваться. А для GPL проектов, всегда могут сделать fork, не спрашивая разрешения у владельцев кода.
Так что если кто-то опасается "обратных дверей" – лучше использовать GnuPG.
комментариев: 11558 документов: 1036 редакций: 4118
Именно так, к безопасности и надёжности это не имеет никакого отношения.
Вот это мне непонятно. Откуда такой вывод? GPL — не панацея от всех бед.
Не панацея конечно, но одно дело, когда код можно просто посмотреь, а другое
– когда можно использовать в своем проекте, тогда люди не просто его смотрят, .
а работают с ним, боьше шансов что-то выявить или улучшить.
К безопасности и надежности это имеет скорее косвенное отношение, прямой связи тут конечно нет.
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 11558 документов: 1036 редакций: 4118