id: Гость   вход   регистрация
текущее время 19:47 28/03/2024
Автор темы: Гость, тема открыта 10/06/2004 00:09 Печать
https://www.pgpru.com/Форум/ОбщиеВопросы/ЗаветнаяДверцаВPGP
создать
просмотр
ссылки

Заветная дверца в PGP


PGP это все конечно очень хорошо. Мне нравится. НО
вроде как есть в этой системе потайная дверца для правительства и ФБР.
Но если так, то как же секретность, защищенность, защищенность от маски-шоу и их последствий. Тот же контейнер отдадут властям и вскроют. (


Отпишитесь, кто знатоки по этой теме.


 
Комментарии
— SATtva (10/06/2004 03:26)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Нету никаких дверц, десятый раз повторяю. Исходный код программы открыт — берите и пользуйтесь, проводите аудит, компилируйте, whatever... Где здесь логика? Если Вы знаете, что испечённую Вами буханку хлеба каждый может разрезать пополам и заглянуть внутрь или вообще через мясорубку пропустить, станете ли Вы в неё напильник прятать?

Слухов много по Сети ходит, но к каждому первому лучше не прислушиваться. А то можно и не такое вспомнить. Впрочем, касаемо PGP, от этих слухов старой затхлостью и плесенью попахивает.

Четыре года назад много шума наделала новость о выявленной в PGP ошибке по формированию пакета OpenPGP и тэга присоединённого ADK (см. http://www.pgpru.com/faq/tech.htm#pgptech_4 и в Документах в Архиве проекта, http://old.pgpru.com ), когда при незначительной модификации содержимого тэга PGP не проверял надлежащим образом цифровую подпись закрытого ключа, санкционирующую этот ADK. Таким образом, злоумышленник потенциально имел возможность присоединить к ключу жертвы так называемый ADK "для входящих", благодаря чему все сообщения, шифруемые ключом жертвы, зашифровывались бы и ключом взломщика.

Поговаривали, что эта уязвимость была намеренной "закладкой" со стороны Network Associates, NAI, бывшего разработчика и правообладателя на марку PGP. Якобы на NAI, в то время входившую в Key Recovery Alliance, индустриальный союз, поддерживавший инициативу правительства США по тотальному внедрению систем депонирования криптографических ключей, надавило АНБ, и те решили услужить им таким интересным способом.

На самом деле эта уязвимость была по сути неприменима для практического использования. Во-первых, ADK взломщика должен присутствовать на связке отправителя сообщения, во-вторых, должен быть заверен отправителем как достоверный, в-третьих, взломщик должен перехватить зашифрованное письмо в процессе передачи, чтобы иметь возможность его расшифровать. Чтобы АНБ предложило такую абсурдную схему? Полный бред.

Над чем бы я действительно задумался, так это над использованием седьмых версий PGP, когда NAI закрыла исходный код программы... А потом Циммерман ушёл из команды NAI PGP Devision (не из разработчиков! — он написал только PGP 1.0, над всеми последующими работали другие люди, он лишь консультировал)... А потом случилось 11 сентября...

На сегодня мне эта тема кажется совершенно неактуальной. Вот если PGPCorp, нынешний разработчик, где трудятся и Каллас, и Прайс, и Циммерман со Шнайером (в консультативном совете), и другие отцы-основатели, вдруг закроет исходники PGP, тогда действительно будет о чём поговорить. Но в любом случае есть альтернатива в виде GnuPG. Не пропадём...
— Гость (10/06/2004 09:03)   <#>
Кстати, в большинстве ведущих Linux дистрибутивов PGP уже давно не поддерживается. (Ну есть только старые версии для совместимости)
Встроенные подписи для пакетов, системы сертификации исходников для разработчиков, ключи служб безопасности
и т.д. уже давно переведены на GnuPG. Впервую очередь по лицензионным соображениям.
Ведь, насколько известно, исходники PGP, хотя и доступны, но не относятся к
GPL-подобной лицензии? И если PGPcorp захочет прикрыть этот проект или начнет
коммерческие игры с перепродажей (а что-то похожее уже было), то пользователям
будет некуда деваться. А для GPL проектов, всегда могут сделать fork, не спрашивая разрешения у владельцев кода.

Так что если кто-то опасается "обратных дверей" – лучше использовать GnuPG.
— SATtva (10/06/2004 13:09)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Хотя PGP доступен в исходных текстах, это проприетарная коммерческая разработка. Никакой GPL тут и не пахнет, в чём я, например, не вижу никакой проблемы (текст лицензии на исходный код 8.х есть на страничке, откуда его можно скачать).
Впервую очередь по лицензионным соображениям.

Именно так, к безопасности и надёжности это не имеет никакого отношения.
Так что если кто-то опасается "обратных дверей" – лучше использовать GnuPG.

Вот это мне непонятно. Откуда такой вывод? GPL — не панацея от всех бед.
— Гость (11/06/2004 08:46)   <#>


Не панацея конечно, но одно дело, когда код можно просто посмотреь, а другое
– когда можно использовать в своем проекте, тогда люди не просто его смотрят, .
а работают с ним, боьше шансов что-то выявить или улучшить.
К безопасности и надежности это имеет скорее косвенное отношение, прямой связи тут конечно нет.
— SATtva (11/06/2004 15:07)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Да, в этом плане я с Вами согласен, однако такой "сопутсвующий" аудит как правило выявляет только функциональные баги, редко связанные непосредственно с безопасностью. Чтобы проанализировать код на наличие брешей в защите, в реализации крипто-примитивов и пр., необходимо целенаправленно искать пути атаки. В этом смысле, на мой взгляд, преимущества свободного софта (GPL) перед софта с открытыми исходниками крайне незначительны либо вовсе иллюзорны. (Других аспектов free software я в данном случае не касаюсь.)
— Гость (11/06/2004 15:22)   <#>
А где можно скачать исходник?
— SATtva (11/06/2004 15:25)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
MiShA, смотрите в Ссылках.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3