Marlin — российский почтовый клиент с поддержкой PGP
Хочу обратить ваше внимание на новый русский почтовик под названием Marlin. Среди набора его достоинств можно и нужно упомянуть удобную поддержку PGP. Которая по словам автора реализован в соответствии с последним документом RFC по Open PGP.
Как пользователь данной программы могу сказать, что есть еще косяки при использовании марлиновской PGP и порой приходиться прибегать к помощи PGP Freeware (котороя и так установлена у меня для криптования файлов), но, вероятно, вскоре эти проблемы будут устранены.
Как бы там ни было это программа достойна того, чтобы вы хотя бы с ней ознакомились. Этому способствует и небольшой размер дистрибутива.
Форум на сайте программы: http://marlin-mail.com/inv/
Добавлено позднее:
Похоже, я промахнулся с темой форума. Показалось, что здесь раздел об использовании PGP для защиты переписки..
Я не знаю, что такое PGPmail откровенно говоря :-(, хотя пользуюсь PGP с 98 года (еще в пору, когда мануалы для PGP переводил ув. гос. Отставнов). Это, вероятно, терминология какой-то последней версией PGPFreeware?
Мне кажется, что не стоит смешивать алгоритм с кучей каких-то утилит, которые имеют в своем названии PGP. Я очень сомневаюсь, что PGP-что-то там для защиты компьютера от вторщений будет лучше хотя бы того же самого русского Outpost... Циммерман уже отошел от PGPFreeware и отдал его на откуп каким-то барыгам, которых обязал продолжать бесплатно выпускать основную версию. Насколько я в курсе. Вот они туда и напихали каких-то непонятных продуктов с префиксом PGP... Поправьте меня, если я не прав.. Естественно, что PGPDisk штука полезная, но она и существует сто лет..
комментариев: 11558 документов: 1036 редакций: 4118
Да, Ваша программа, по-видимому, первая, которая основана на новом формате RFC 2440. Касаемо реализации есть несколько вопросов.
1. Проверялась ли корректность шифров и хэш-алгоритмов на тестовых строках и векторах?
2. Использует ли Марлин memory lock для блокировки ценных данных (расшифрованых закрытых ключей, паролей, расшифрованного открытого текста) в ПЗУ?
3. Какие используются источники энтропии и какой метод (ANSI X9.17?) используется для генерации сеансовых симметричных ключей?
4. Используется ли проверка чисел на простоту?
С уважением,
Проверялась. И не только на тестовых, но и в реальных условиях, что чаще оказывается более эффективным.
Как я понял, имеется в виду затирание данных после их использования. Нет, в версии 1.0 этого не делается. Не всё сразу. Я имею это в виду, собираюсь реализовать в дальнейшем. С учётом особенностей реализации обработки памяти (в-основном через смартпойнтеры) это будет сделать довольно просто.
Для генерации псевдослучайностей используются события ввода – т.е. интервалы между нажатиями клавиш, перемещения мышки, скорость перемещения. Причём это делается в фоне сразу при старте программы и на протяжении всего времени работы программы, т.к. имеется необходимость воспользоваться генератором псевдослучайных чисел и в других местах (не только в OpenPGP).
Я об этом и говорил выше. Вместо стандартного способа проверки (Ферма) используется более точный – Миллера-Рабина. Непонятно, почему он до сих пор не реализован в PGPfw. Хотя в marlin можно выбрать и Ферма, если кому нравится :-).
комментариев: 11558 документов: 1036 редакций: 4118
ftp://ftp.inf.ethz.ch/pub/publ.....i/isc/old/ElGamal.ps
Хотя по умолчанию Марлин не производит одиночных ключей Эльгамаля, он, в отличие от GnuPG, даже не предупреждает об особенностях применения этой схемы для операций подписания и шифрования. Данная ошибка представляет серьёзнейшую потенциальную угрозу.
Действительно, более глубокий анализ выявил причину проблемы: по умолчанию Марлин берёт показатель генератора из предрассчитанной базы математических элементов ключей Эльгамаля. Ниже — небольшая выборка ключей, прошедших проверку. Под материалом каждого дана его декодировка.
Выборка: 9 случайных ключей (демонстрируется 3).
Тип ключа: ID20, один ключ Эльгамаль "шифрование / подписание".
Модуль ключа: 2048 бит.
Метод поиска простых чисел: выбор из предрассчитанной базы.
Уровень проверки чисел на простоту: оптимальный.
Выборка: 9 случайных ключей (демонстрируется 3).
Тип ключа: ID20, один ключ Эльгамаль "шифрование / подписание".
Модуль ключа: 1024 бит.
Метод поиска простых чисел: строгий, Рабина-Миллера.
Уровень проверки чисел на простоту: оптимальный.
Дальнейшая проверка показала, что ключи с длиной модуля 4096 битов с математическими показателями, выбираемыми из базы, также дают g = 2. Однако создание ключей по методу Ферма или Рабина-Миллера приводит к генерации показателя g, имеющего крупный простой делитель, что является необходимым для ключей подписания Эльгамаля.
Вывод: не используйте ключи Эльгамаля, сгенерированные в Марлине, заменяя их ключами RSA, либо генерируйте ключи Эльгамаля с нуля, путём поиска простых чисел по алгоритму Ферма или Рабина-Миллера.
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 6 документов: 1 редакций: 0
Нужно мне как-то было файл найти по критериям, я в тотал командере задал поиск всех файлов с конкретным текстом внутри, обнаружив этот текст в файле по пути ящик/Inbox/messages.tbb – я сильно удивился. Еще сильнее я удивился когда открыл файл messages.tbb и убедился, что письмо которое я стер месяц назад ОСТАЛОСЬ В ФАЙЛЕ ЯЩИКА! Я сначала думал, что у меня глюки, залез в thebat в папки Inbox, trash, включил поиск средствами thebat по всему задав тот-же текст, потом имя отправителя – стертого письма естественно в user-интерфейсе нет! Тут я уже заволновался – сжал папки, на что мне the bat расказал о якобы высвобожденном пространстве, вышел открыл файл ящика – СТЕРТОЕ ПИСЬМО НИКУДА НЕ ДЕЛОСЬ. Версия это была вроде 2.60 – c тех пор ну его к черту, The bat этот, какая разница как в нем работает PGP если любой получивший доступ к компу может читать письма которым куча лет!
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 6 документов: 1 редакций: 0
Еще thebat плох тем, что много троянов умеют воровать его пароли ;)
комментариев: 212 документов: 27 редакций: 20
комментариев: 11558 документов: 1036 редакций: 4118