Marlin — российский почтовый клиент с поддержкой PGP

Доброго времени, = olegg =, рад, что заглянули. Планы Ваши радуют — всё же я придерживаюсь точки зрения, что система криптографической защиты информации должна распространяться в исходных текстах. Излагать причины такой позиции в надцатый раз, думаю, не стоит.

Да, Ваша программа, по-видимому, первая, которая основана на новом формате RFC 2440. Касаемо реализации есть несколько вопросов.

1. Проверялась ли корректность шифров и хэш-алгоритмов на тестовых строках и векторах?
2. Использует ли Марлин memory lock для блокировки ценных данных (расшифрованых закрытых ключей, паролей, расшифрованного открытого текста) в ПЗУ?
3. Какие используются источники энтропии и какой метод (ANSI X9.17?) используется для генерации сеансовых симметричных ключей?
4. Используется ли проверка чисел на простоту?

С уважением,

SATtva:
1. Проверялась ли корректность шифров и хэш-алгоритмов на тестовых строках и векторах?,

Проверялась. И не только на тестовых, но и в реальных условиях, что чаще оказывается более эффективным.

SATtva:
2. Использует ли Марлин memory lock для блокировки ценных данных (расшифрованых закрытых ключей, паролей, расшифрованного открытого текста) в ПЗУ?

Как я понял, имеется в виду затирание данных после их использования. Нет, в версии 1.0 этого не делается. Не всё сразу. Я имею это в виду, собираюсь реализовать в дальнейшем. С учётом особенностей реализации обработки памяти (в-основном через смартпойнтеры) это будет сделать довольно просто.

SATtva:
3. Какие используются источники энтропии и какой метод (ANSI X9.17?) используется для генерации сеансовых симметричных ключей?

Для генерации псевдослучайностей используются события ввода – т.е. интервалы между нажатиями клавиш, перемещения мышки, скорость перемещения. Причём это делается в фоне сразу при старте программы и на протяжении всего времени работы программы, т.к. имеется необходимость воспользоваться генератором псевдослучайных чисел и в других местах (не только в OpenPGP).

SATtva:
4. Используется ли проверка чисел на простоту?

Я об этом и говорил выше. Вместо стандартного способа проверки (Ферма) используется более точный – Миллера-Рабина. Непонятно, почему он до сих пор не реализован в PGPfw. Хотя в marlin можно выбрать и Ферма, если кому нравится :-).

Занимаясь рассмотрением пакетов ключей, генерируемых Марлином, я обнаружил следующее: ключи Эльгамаля (и одиночные, и парные с DSA) с большой долей вероятности используют одинаковый показатель переменной генератора g = 2. Выбор показателя 2 полезен для варианта Эльгамаля "только для шифрования", поскольку ускоряет криптографические вычисления. Но ни при каких обстоятельствах (!) не должен применяться для ключей Эльгамаля, используемых, как в Марлине, для шифрования и подписания, поскольку такой g генерирует чётное значение группы и сам же является делителем. Даниэл Блейкенбахер показал, что такой ошибкой в реализации можно воспользоваться для подделки цифровых подписей данного ключа.
ftp://ftp.inf.ethz.ch/pub/publ.....i/isc/old/ElGamal.ps

Хотя по умолчанию Марлин не производит одиночных ключей Эльгамаля, он, в отличие от GnuPG, даже не предупреждает об особенностях применения этой схемы для операций подписания и шифрования. Данная ошибка представляет серьёзнейшую потенциальную угрозу.

olegg:
Я ещё раз внимательно просмотрел ситуацию. Оказалось не совсем так. Выбирается g = x ^ e mod p, где

x = 2,3,...
e = (p – 1) / q
p – prime, q – prime
bits(q) = bits§ / 2 – y
y = bits(bits§)

при этом берётся первый g такой, чтобы bits(g) > 1.
То есть на самом деле может быть 2, но вполне может быть и больше.

Действительно, более глубокий анализ выявил причину проблемы: по умолчанию Марлин берёт показатель генератора из предрассчитанной базы математических элементов ключей Эльгамаля. Ниже — небольшая выборка ключей, прошедших проверку. Под материалом каждого дана его декодировка.



Выборка: 9 случайных ключей (демонстрируется 3).
Тип ключа: ID20, один ключ Эльгамаль "шифрование / подписание".
Модуль ключа: 2048 бит.
Метод поиска простых чисел: выбор из предрассчитанной базы.
Уровень проверки чисел на простоту: оптимальный.
-----BEGIN PGP PUBLIC KEY BLOCK----- Version: OpenPGP xsFNBD/xf9gUCAD2Qle3CH8IF3KiutapQvMF6PlTETlPtvFuuUs4INoBp1ajFOmPQFXz 0AfGy0OplK33TGSGSfgMg71l6RfUodNQ+PVZX9x2Uk89PY3bzpnhV5JZzf24rnRPxfx2 vIPFRzBhznzJZv8V+bv9kV7HAarTW56NoKVyOtQa8L9GAFgr5fSI/VhOSdvNILSd5JEH NmszbDgNRR0PfIizHHxbLY7288kjwEPwpVsYjY67VYy4XTjTNP18F1dDox0YbN4zISy1 Kv884bEpQBgRjXyEpwpy1obEAxnIByl6ypUM2Zafq9AKUJsCRtMIPWakXUGfnHy9iUsi GSa6q6Jew1XpMgs7AAICCADn7ijXmmHPh9/pTs+9kc8MLsobJ+dJgLUesrqnPl2tHiGB TLDlaCUDclt1N4dysUCV8Do0o/2Ffh1VV2xLMHCTFpHlzeJS2kubWVzAlG4j0XcAGw9w zAxa+LpIhnnG0gX90CRg/jtFcN8/hTWfntL+x3oiucf5iGpM1pH4QUghUWbSfcDmxJ3l 2qDgt3tMU2K84bqiVZdJTaNrUDWKGLyD5a3K3kd75WzkbkZSYeyh8tbOCdp758sSI271 MdX4q2jyn9aVDIXWL4Fx6SLOuvcASCb9ztySmVmIXC1O7438J5dttVdDbBlil+JjMEDd iVYD5xK0S2MdgsIDVnXIS/+1zQIxLQ== =A4aJ -----END PGP PUBLIC KEY BLOCK----- New: Public Key Packet(tag 6)(525 bytes) Ver 4 - new Public key creation time - Tue Dec 30 13:38:32 UTC 2003 Pub alg - ElGamal Encrypt or Sign (pub 20) ElGamal p(2048 bits) - f6 42 57 b7 08 7f 08 17 72 a2 ba d6 a9 42 f3 05 e8 f9 53 11 39 4f b6 f1 6e b9 4b 38 20 da 01 a7 56 a3 14 e9 8f 40 55 f3 d0 07 c6 cb 43 a9 94 ad f7 4c 64 86 49 f8 0c 83 bd 65 e9 17 d4 a1 d3 50 f8 f5 59 5f dc 76 52 4f 3d 3d 8d db ce 99 e1 57 92 59 cd fd b8 ae 74 4f c5 fc 76 bc 83 c5 47 30 61 ce 7c c9 66 ff 15 f9 bb fd 91 5e c7 01 aa d3 5b 9e 8d a0 a5 72 3a d4 1a f0 bf 46 00 58 2b e5 f4 88 fd 58 4e 49 db cd 20 b4 9d e4 91 07 36 6b 33 6c 38 0d 45 1d 0f 7c 88 b3 1c 7c 5b 2d 8e f6 f3 c9 23 c0 43 f0 a5 5b 18 8d 8e bb 55 8c b8 5d 38 d3 34 fd 7c 17 57 43 a3 1d 18 6c de 33 21 2c b5 2a ff 3c e1 b1 29 40 18 11 8d 7c 84 a7 0a 72 d6 86 c4 03 19 c8 07 29 7a ca 95 0c d9 96 9f ab d0 0a 50 9b 02 46 d3 08 3d 66 a4 5d 41 9f 9c 7c bd 89 4b 22 19 26 ba ab a2 5e c3 55 e9 32 0b 3b * ElGamal g(2 bits) - 02 * ElGamal y(2048 bits) - e7 ee 28 d7 9a 61 cf 87 df e9 4e cf bd 91 cf 0c 2e ca 1b 27 e7 49 80 b5 1e b2 ba a7 3e 5d ad 1e 21 81 4c b0 e5 68 25 03 72 5b 75 37 87 72 b1 40 95 f0 3a 34 a3 fd 85 7e 1d 55 57 6c 4b 30 70 93 16 91 e5 cd e2 52 da 4b 9b 59 5c c0 94 6e 23 d1 77 00 1b 0f 70 cc 0c 5a f8 ba 48 86 79 c6 d2 05 fd d0 24 60 fe 3b 45 70 df 3f 85 35 9f 9e d2 fe c7 7a 22 b9 c7 f9 88 6a 4c d6 91 f8 41 48 21 51 66 d2 7d c0 e6 c4 9d e5 da a0 e0 b7 7b 4c 53 62 bc e1 ba a2 55 97 49 4d a3 6b 50 35 8a 18 bc 83 e5 ad ca de 47 7b e5 6c e4 6e 46 52 61 ec a1 f2 d6 ce 09 da 7b e7 cb 12 23 6e f5 31 d5 f8 ab 68 f2 9f d6 95 0c 85 d6 2f 81 71 e9 22 ce ba f7 00 48 26 fd ce dc 92 99 59 88 5c 2d 4e ef 8d fc 27 97 6d b5 57 43 6c 19 62 97 e2 63 30 40 dd 89 56 03 e7 12 b4 4b 63 1d 82 c2 03 56 75 c8 4b ff b5 New: User ID Packet(tag 13)(2 bytes) User ID - 1- -----BEGIN PGP PUBLIC KEY BLOCK----- Version: OpenPGP xsFNBD/xgLwUCAD2Qle3CH8IF3KiutapQvMF6PlTETlPtvFuuUs4INoBp1ajFOmPQFXz 0AfGy0OplK33TGSGSfgMg71l6RfUodNQ+PVZX9x2Uk89PY3bzpnhV5JZzf24rnRPxfx2 vIPFRzBhznzJZv8V+bv9kV7HAarTW56NoKVyOtQa8L9GAFgr5fSI/VhOSdvNILSd5JEH NmszbDgNRR0PfIizHHxbLY7288kjwEPwpVsYjY67VYy4XTjTNP18F1dDox0YbN4zISy1 Kv884bEpQBgRjXyEpwpy1obEAxnIByl6ypUM2Zafq9AKUJsCRtMIPWakXUGfnHy9iUsi GSa6q6Jew1XpMgs7AAICCADW83Qyn5EmBR2m9hC0SDsD38fGNPaL+NRThQmBHsRT8qB6 InX7PJDnt4QKy+Q4ZGpkXKApV+4VzCsNz+DZ2aY9JgHgB/hvil3eba2SyIi0/44Hw4x9 vxcFA0bCjLoztlpBmXL5++aUN2G/kPP7jN+LXNikmJHy9qALQs/9Uuw8SuDt0Wu7fPzx QmRZ3uGR68c62hv3pNCSv5aBDy5S/A+xecR0uGnPNuwIB6XgMUtTxyxqPPXanTSUJtvP /iZYJWXRigGrzEQ/QWZc0cIDYhgRKUn4dgGCU1dVNkz4ptV3DQ/kkoyeiDB1IogppUHU odhvct28N2/B5Z5eWA2pOFbuzQIyLQ== =kgcl -----END PGP PUBLIC KEY BLOCK----- New: Public Key Packet(tag 6)(525 bytes) Ver 4 - new Public key creation time - Tue Dec 30 13:42:20 UTC 2003 Pub alg - ElGamal Encrypt or Sign (pub 20) ElGamal p(2048 bits) - f6 42 57 b7 08 7f 08 17 72 a2 ba d6 a9 42 f3 05 e8 f9 53 11 39 4f b6 f1 6e b9 4b 38 20 da 01 a7 56 a3 14 e9 8f 40 55 f3 d0 07 c6 cb 43 a9 94 ad f7 4c 64 86 49 f8 0c 83 bd 65 e9 17 d4 a1 d3 50 f8 f5 59 5f dc 76 52 4f 3d 3d 8d db ce 99 e1 57 92 59 cd fd b8 ae 74 4f c5 fc 76 bc 83 c5 47 30 61 ce 7c c9 66 ff 15 f9 bb fd 91 5e c7 01 aa d3 5b 9e 8d a0 a5 72 3a d4 1a f0 bf 46 00 58 2b e5 f4 88 fd 58 4e 49 db cd 20 b4 9d e4 91 07 36 6b 33 6c 38 0d 45 1d 0f 7c 88 b3 1c 7c 5b 2d 8e f6 f3 c9 23 c0 43 f0 a5 5b 18 8d 8e bb 55 8c b8 5d 38 d3 34 fd 7c 17 57 43 a3 1d 18 6c de 33 21 2c b5 2a ff 3c e1 b1 29 40 18 11 8d 7c 84 a7 0a 72 d6 86 c4 03 19 c8 07 29 7a ca 95 0c d9 96 9f ab d0 0a 50 9b 02 46 d3 08 3d 66 a4 5d 41 9f 9c 7c bd 89 4b 22 19 26 ba ab a2 5e c3 55 e9 32 0b 3b * ElGamal g(2 bits) - 02 * ElGamal y(2048 bits) - d6 f3 74 32 9f 91 26 05 1d a6 f6 10 b4 48 3b 03 df c7 c6 34 f6 8b f8 d4 53 85 09 81 1e c4 53 f2 a0 7a 22 75 fb 3c 90 e7 b7 84 0a cb e4 38 64 6a 64 5c a0 29 57 ee 15 cc 2b 0d cf e0 d9 d9 a6 3d 26 01 e0 07 f8 6f 8a 5d de 6d ad 92 c8 88 b4 ff 8e 07 c3 8c 7d bf 17 05 03 46 c2 8c ba 33 b6 5a 41 99 72 f9 fb e6 94 37 61 bf 90 f3 fb 8c df 8b 5c d8 a4 98 91 f2 f6 a0 0b 42 cf fd 52 ec 3c 4a e0 ed d1 6b bb 7c fc f1 42 64 59 de e1 91 eb c7 3a da 1b f7 a4 d0 92 bf 96 81 0f 2e 52 fc 0f b1 79 c4 74 b8 69 cf 36 ec 08 07 a5 e0 31 4b 53 c7 2c 6a 3c f5 da 9d 34 94 26 db cf fe 26 58 25 65 d1 8a 01 ab cc 44 3f 41 66 5c d1 c2 03 62 18 11 29 49 f8 76 01 82 53 57 55 36 4c f8 a6 d5 77 0d 0f e4 92 8c 9e 88 30 75 22 88 29 a5 41 d4 a1 d8 6f 72 dd bc 37 6f c1 e5 9e 5e 58 0d a9 38 56 ee New: User ID Packet(tag 13)(2 bytes) User ID - 2- -----BEGIN PGP PUBLIC KEY BLOCK----- Version: OpenPGP xsFNBD/xgMwUCAD2Qle3CH8IF3KiutapQvMF6PlTETlPtvFuuUs4INoBp1ajFOmPQFXz 0AfGy0OplK33TGSGSfgMg71l6RfUodNQ+PVZX9x2Uk89PY3bzpnhV5JZzf24rnRPxfx2 vIPFRzBhznzJZv8V+bv9kV7HAarTW56NoKVyOtQa8L9GAFgr5fSI/VhOSdvNILSd5JEH NmszbDgNRR0PfIizHHxbLY7288kjwEPwpVsYjY67VYy4XTjTNP18F1dDox0YbN4zISy1 Kv884bEpQBgRjXyEpwpy1obEAxnIByl6ypUM2Zafq9AKUJsCRtMIPWakXUGfnHy9iUsi GSa6q6Jew1XpMgs7AAICB/44pMZ1q77fK88mpC9A07l5hhhMkYWOccz+ssNySp4Jw0Br xnezlli3LWfN27iaWh5PVhhUXSNXwZroDcIvLU+uE7mJ4FoVQyIql+d9jTd0CYmN/syT O1UzRpk0LdtwNOliyxWwPPf5wnruw904S7ouwjjifd5S2YKt41iJ2GiDnwRY5ajT0Uah f9xqHY3trZYkyO08KOEG8nIExTG3dAd0D7+BHz/MranVsD7Rr1DA13JLq8zFNp+DGXMl /RUeOleQcv2u6U5vjgIV8suThIuIGS0TGre5Bzr97Ksa9h7tQHpezXCy17RQ+GarXGOQ gdzRIVDUelwD0aaVDqC5Bs3szQIzLQ== =jbZW -----END PGP PUBLIC KEY BLOCK----- New: Public Key Packet(tag 6)(525 bytes) Ver 4 - new Public key creation time - Tue Dec 30 13:42:36 UTC 2003 Pub alg - ElGamal Encrypt or Sign (pub 20) ElGamal p(2048 bits) - f6 42 57 b7 08 7f 08 17 72 a2 ba d6 a9 42 f3 05 e8 f9 53 11 39 4f b6 f1 6e b9 4b 38 20 da 01 a7 56 a3 14 e9 8f 40 55 f3 d0 07 c6 cb 43 a9 94 ad f7 4c 64 86 49 f8 0c 83 bd 65 e9 17 d4 a1 d3 50 f8 f5 59 5f dc 76 52 4f 3d 3d 8d db ce 99 e1 57 92 59 cd fd b8 ae 74 4f c5 fc 76 bc 83 c5 47 30 61 ce 7c c9 66 ff 15 f9 bb fd 91 5e c7 01 aa d3 5b 9e 8d a0 a5 72 3a d4 1a f0 bf 46 00 58 2b e5 f4 88 fd 58 4e 49 db cd 20 b4 9d e4 91 07 36 6b 33 6c 38 0d 45 1d 0f 7c 88 b3 1c 7c 5b 2d 8e f6 f3 c9 23 c0 43 f0 a5 5b 18 8d 8e bb 55 8c b8 5d 38 d3 34 fd 7c 17 57 43 a3 1d 18 6c de 33 21 2c b5 2a ff 3c e1 b1 29 40 18 11 8d 7c 84 a7 0a 72 d6 86 c4 03 19 c8 07 29 7a ca 95 0c d9 96 9f ab d0 0a 50 9b 02 46 d3 08 3d 66 a4 5d 41 9f 9c 7c bd 89 4b 22 19 26 ba ab a2 5e c3 55 e9 32 0b 3b * ElGamal g(2 bits) - 02 * ElGamal y(2046 bits) - 38 a4 c6 75 ab be df 2b cf 26 a4 2f 40 d3 b9 79 86 18 4c 91 85 8e 71 cc fe b2 c3 72 4a 9e 09 c3 40 6b c6 77 b3 96 58 b7 2d 67 cd db b8 9a 5a 1e 4f 56 18 54 5d 23 57 c1 9a e8 0d c2 2f 2d 4f ae 13 b9 89 e0 5a 15 43 22 2a 97 e7 7d 8d 37 74 09 89 8d fe cc 93 3b 55 33 46 99 34 2d db 70 34 e9 62 cb 15 b0 3c f7 f9 c2 7a ee c3 dd 38 4b ba 2e c2 38 e2 7d de 52 d9 82 ad e3 58 89 d8 68 83 9f 04 58 e5 a8 d3 d1 46 a1 7f dc 6a 1d 8d ed ad 96 24 c8 ed 3c 28 e1 06 f2 72 04 c5 31 b7 74 07 74 0f bf 81 1f 3f cc ad a9 d5 b0 3e d1 af 50 c0 d7 72 4b ab cc c5 36 9f 83 19 73 25 fd 15 1e 3a 57 90 72 fd ae e9 4e 6f 8e 02 15 f2 cb 93 84 8b 88 19 2d 13 1a b7 b9 07 3a fd ec ab 1a f6 1e ed 40 7a 5e cd 70 b2 d7 b4 50 f8 66 ab 5c 63 90 81 dc d1 21 50 d4 7a 5c 03 d1 a6 95 0e a0 b9 06 cd ec New: User ID Packet(tag 13)(2 bytes) User ID - 3-

Выборка: 9 случайных ключей (демонстрируется 3).
Тип ключа: ID20, один ключ Эльгамаль "шифрование / подписание".
Модуль ключа: 1024 бит.
Метод поиска простых чисел: строгий, Рабина-Миллера.
Уровень проверки чисел на простоту: оптимальный.
-----BEGIN PGP PUBLIC KEY BLOCK----- Version: OpenPGP xsDMBD/xe7cUBADtxrl/0tyyEjhQvlsiEeRatesHLiCJKCe6edyd5739dDBwIzJ8s9lG kfVQnA4V2iVOzq5ChljSGCURy6j3Pp9FGX5u2xvEesm8HmcibjI2SWaP94+GKTtA0Xwb +w020k14gDcSj1thbqCjsNg/eoV0ZJ9z9tB5J5tg6S39UcGIOwP9G+Wv6lr3FelPwRuP 5p1LhsDyK1kjjxT4LvnQ6i18793yQVAjuBZLvPJU6V9l+9b8vimym+9VQElH7PpqxMAd EC7p0f1Uvc6hkX0BdbcknZ1OdbRXt7to2Uy3RbBYeBsufHHP7m3FuFxoLeXznGbiOuJ2 DUoTXtAAEVACJpNbSocEANsjHPgeitmuINIPgF4XJ9Z85HQtZeCUuN7eU8f0xb9Bb8wq 5O4UWCiw5zTLs4nb0qh/8BwC7FgUDJUZhwth0tFxrCenBBBnQrMsWUjiAmtevn8MGzLS +oWlFb2dvw3eHwDgwSmIUctUyiYtZJ2YQivZQrTeReXUyAI4/OethqswzQEx =o2FS -----END PGP PUBLIC KEY BLOCK----- New: Public Key Packet(tag 6)(396 bytes) Ver 4 - new Public key creation time - Tue Dec 30 13:20:55 UTC 2003 Pub alg - ElGamal Encrypt or Sign (pub 20) ElGamal p(1024 bits) - ed c6 b9 7f d2 dc b2 12 38 50 be 5b 22 11 e4 5a b5 eb 07 2e 20 89 28 27 ba 79 dc 9d e7 bd fd 74 30 70 23 32 7c b3 d9 46 91 f5 50 9c 0e 15 da 25 4e ce ae 42 86 58 d2 18 25 11 cb a8 f7 3e 9f 45 19 7e 6e db 1b c4 7a c9 bc 1e 67 22 6e 32 36 49 66 8f f7 8f 86 29 3b 40 d1 7c 1b fb 0d 36 d2 4d 78 80 37 12 8f 5b 61 6e a0 a3 b0 d8 3f 7a 85 74 64 9f 73 f6 d0 79 27 9b 60 e9 2d fd 51 c1 88 3b * ElGamal g(1021 bits) - 1b e5 af ea 5a f7 15 e9 4f c1 1b 8f e6 9d 4b 86 c0 f2 2b 59 23 8f 14 f8 2e f9 d0 ea 2d 7c ef dd f2 41 50 23 b8 16 4b bc f2 54 e9 5f 65 fb d6 fc be 29 b2 9b ef 55 40 49 47 ec fa 6a c4 c0 1d 10 2e e9 d1 fd 54 bd ce a1 91 7d 01 75 b7 24 9d 9d 4e 75 b4 57 b7 bb 68 d9 4c b7 45 b0 58 78 1b 2e 7c 71 cf ee 6d c5 b8 5c 68 2d e5 f3 9c 66 e2 3a e2 76 0d 4a 13 5e d0 00 11 50 02 26 93 5b 4a 87 * ElGamal y(1024 bits) - db 23 1c f8 1e 8a d9 ae 20 d2 0f 80 5e 17 27 d6 7c e4 74 2d 65 e0 94 b8 de de 53 c7 f4 c5 bf 41 6f cc 2a e4 ee 14 58 28 b0 e7 34 cb b3 89 db d2 a8 7f f0 1c 02 ec 58 14 0c 95 19 87 0b 61 d2 d1 71 ac 27 a7 04 10 67 42 b3 2c 59 48 e2 02 6b 5e be 7f 0c 1b 32 d2 fa 85 a5 15 bd 9d bf 0d de 1f 00 e0 c1 29 88 51 cb 54 ca 26 2d 64 9d 98 42 2b d9 42 b4 de 45 e5 d4 c8 02 38 fc e7 ad 86 ab 30 New: User ID Packet(tag 13)(1 bytes) User ID - 1 -----BEGIN PGP PUBLIC KEY BLOCK----- Version: OpenPGP xsDMBD/xe+MUBADa5cqd90Q2vp7IoEvN+oEYI3OMcWW83hEkVYR4w7gwDHs6+CguNtkt 5EbNKqS+2h6RjtbUxgi9QuBM9VaDFLCuonPO0d6ZMf2s46t/llrwqpXtHvCR8neNzasO pBpUweBMdRvbv5E29SatADuSkTwARKrDEmuBhIjP7bGN56MSiQQAipEIh2apDMpu5099 P+BVzzcUHBEe+Tckra4Rnv5ywcdHuW8UznG/oeUrdZmH5D5FKiuGHlWvA2CXOLUyCJ/3 5GMAlktByYjnm0nzCD2DcL2HmNftiKq1pjiC0SOm4aT3n3VZv9Su+mGNOyUajlRv9BLm T+GIlCb9jfzqOCtptioD/RN9HDzIM1mYD00bAdsQf50BFAgXlFPgmAvlv+C2X2BI4+G1 Id/LlGBuZ8QKhk6qqB8Re6d87S/S6xpkW//YVU2j8+lS9e2wFnfh2BDLp6NLD6Gqwp4W x672QdT5lhWMh4deQieVuaPtKlx0RThZPPqnT2b1cYAG4KY6lRIu9+dZzQEy =8ifo -----END PGP PUBLIC KEY BLOCK----- New: Public Key Packet(tag 6)(396 bytes) Ver 4 - new Public key creation time - Tue Dec 30 13:21:39 UTC 2003 Pub alg - ElGamal Encrypt or Sign (pub 20) ElGamal p(1024 bits) - da e5 ca 9d f7 44 36 be 9e c8 a0 4b cd fa 81 18 23 73 8c 71 65 bc de 11 24 55 84 78 c3 b8 30 0c 7b 3a f8 28 2e 36 d9 2d e4 46 cd 2a a4 be da 1e 91 8e d6 d4 c6 08 bd 42 e0 4c f5 56 83 14 b0 ae a2 73 ce d1 de 99 31 fd ac e3 ab 7f 96 5a f0 aa 95 ed 1e f0 91 f2 77 8d cd ab 0e a4 1a 54 c1 e0 4c 75 1b db bf 91 36 f5 26 ad 00 3b 92 91 3c 00 44 aa c3 12 6b 81 84 88 cf ed b1 8d e7 a3 12 89 * ElGamal g(1024 bits) - 8a 91 08 87 66 a9 0c ca 6e e7 4f 7d 3f e0 55 cf 37 14 1c 11 1e f9 37 24 ad ae 11 9e fe 72 c1 c7 47 b9 6f 14 ce 71 bf a1 e5 2b 75 99 87 e4 3e 45 2a 2b 86 1e 55 af 03 60 97 38 b5 32 08 9f f7 e4 63 00 96 4b 41 c9 88 e7 9b 49 f3 08 3d 83 70 bd 87 98 d7 ed 88 aa b5 a6 38 82 d1 23 a6 e1 a4 f7 9f 75 59 bf d4 ae fa 61 8d 3b 25 1a 8e 54 6f f4 12 e6 4f e1 88 94 26 fd 8d fc ea 38 2b 69 b6 2a * ElGamal y(1021 bits) - 13 7d 1c 3c c8 33 59 98 0f 4d 1b 01 db 10 7f 9d 01 14 08 17 94 53 e0 98 0b e5 bf e0 b6 5f 60 48 e3 e1 b5 21 df cb 94 60 6e 67 c4 0a 86 4e aa a8 1f 11 7b a7 7c ed 2f d2 eb 1a 64 5b ff d8 55 4d a3 f3 e9 52 f5 ed b0 16 77 e1 d8 10 cb a7 a3 4b 0f a1 aa c2 9e 16 c7 ae f6 41 d4 f9 96 15 8c 87 87 5e 42 27 95 b9 a3 ed 2a 5c 74 45 38 59 3c fa a7 4f 66 f5 71 80 06 e0 a6 3a 95 12 2e f7 e7 59 New: User ID Packet(tag 13)(1 bytes) User ID - 2 -----BEGIN PGP PUBLIC KEY BLOCK----- Version: OpenPGP xsDMBD/xfCAUBACGJ4PNu9hkiRR/gsQtlvSFxRbV9RMMYx18cO70JpGkrDwJk7YD9OQF UEnMY2n7IFPBPJ2oF5QcJSnHcmH+C5Dw05wzsO9x6/tpS5RwvcqBTvEw5RbLH2KMoWB3 2qDvVG3mExba4jEa4lLEBggNVjxOiZhQX1Mkny+CvyITBZvYBQP/fCQ1pZP+bZXmElZJ YHQERBIL41xb2Rdn0Jo3N7Ix6odI9LbJ5AtMzxGYONMnHMYmewZ6YohZftWDtnI+1/1S ne0mrtd2mjjfFqjFFH1AjByhlEfjSncGFBihGne9Wj2c+UALgMbm5K9D6LmEu+qeD/zw LqAlfIVaTx4UyIH0KBgD/06EunE3lt2Eplejt0hWjibElUUSsHo9aQZrhqDvsQ8z0P94 bmcCqnxSFE2iv+jLPc+LJ98Cn8IIw33a0QxqqXVhSa678VlHg5xWTHgXybqSZsD/EmZi eLdrjS9A+/66eKxJZ9CAFu7+RoBIq3ojSrZXbgs6tFSNYkISFq7AUg7tzQEz =XGR3 -----END PGP PUBLIC KEY BLOCK----- New: Public Key Packet(tag 6)(396 bytes) Ver 4 - new Public key creation time - Tue Dec 30 13:22:40 UTC 2003 Pub alg - ElGamal Encrypt or Sign (pub 20) ElGamal p(1024 bits) - 86 27 83 cd bb d8 64 89 14 7f 82 c4 2d 96 f4 85 c5 16 d5 f5 13 0c 63 1d 7c 70 ee f4 26 91 a4 ac 3c 09 93 b6 03 f4 e4 05 50 49 cc 63 69 fb 20 53 c1 3c 9d a8 17 94 1c 25 29 c7 72 61 fe 0b 90 f0 d3 9c 33 b0 ef 71 eb fb 69 4b 94 70 bd ca 81 4e f1 30 e5 16 cb 1f 62 8c a1 60 77 da a0 ef 54 6d e6 13 16 da e2 31 1a e2 52 c4 06 08 0d 56 3c 4e 89 98 50 5f 53 24 9f 2f 82 bf 22 13 05 9b d8 05 * ElGamal g(1023 bits) - 7c 24 35 a5 93 fe 6d 95 e6 12 56 49 60 74 04 44 12 0b e3 5c 5b d9 17 67 d0 9a 37 37 b2 31 ea 87 48 f4 b6 c9 e4 0b 4c cf 11 98 38 d3 27 1c c6 26 7b 06 7a 62 88 59 7e d5 83 b6 72 3e d7 fd 52 9d ed 26 ae d7 76 9a 38 df 16 a8 c5 14 7d 40 8c 1c a1 94 47 e3 4a 77 06 14 18 a1 1a 77 bd 5a 3d 9c f9 40 0b 80 c6 e6 e4 af 43 e8 b9 84 bb ea 9e 0f fc f0 2e a0 25 7c 85 5a 4f 1e 14 c8 81 f4 28 18 * ElGamal y(1023 bits) - 4e 84 ba 71 37 96 dd 84 a6 57 a3 b7 48 56 8e 26 c4 95 45 12 b0 7a 3d 69 06 6b 86 a0 ef b1 0f 33 d0 ff 78 6e 67 02 aa 7c 52 14 4d a2 bf e8 cb 3d cf 8b 27 df 02 9f c2 08 c3 7d da d1 0c 6a a9 75 61 49 ae bb f1 59 47 83 9c 56 4c 78 17 c9 ba 92 66 c0 ff 12 66 62 78 b7 6b 8d 2f 40 fb fe ba 78 ac 49 67 d0 80 16 ee fe 46 80 48 ab 7a 23 4a b6 57 6e 0b 3a b4 54 8d 62 42 12 16 ae c0 52 0e ed New: User ID Packet(tag 13)(1 bytes) User ID - 3

Дальнейшая проверка показала, что ключи с длиной модуля 4096 битов с математическими показателями, выбираемыми из базы, также дают g = 2. Однако создание ключей по методу Ферма или Рабина-Миллера приводит к генерации показателя g, имеющего крупный простой делитель, что является необходимым для ключей подписания Эльгамаля.

Вывод: не используйте ключи Эльгамаля, сгенерированные в Марлине, заменяя их ключами RSA, либо генерируйте ключи Эльгамаля с нуля, путём поиска простых чисел по алгоритму Ферма или Рабина-Миллера.

Из переписки с автором программы. Дополнительные замечания, любезно принятые автором. Будем надеяться на исправление недостатков в будущих версиях.

SATtva:
Вы сами позиционируете свой продукт как мэйл-клиент с повышенной
надёжностью и особыми механизмами защиты, посему прошу максимально
серьёзно и, возможно, с некоторой доли паранои оценить имеющие место
бреши в безопасности. Я буду говорить только об OpenPGP в текущем
релизе 1.0.100.

Во-первых, самое важное. К сожалению, программа соответствует
спецификациям OpenPGP далеко не в полной мере. Более всего меня
обеспокоило то, что она не распознаёт KRC (сертификаты аннулирования
ключей), сроки действия ключей и записи Preferred Algorithm и Allowed
Algorithms, позволяя отправителю зашифровывать истекшими и
аннулированными ключами, а также симметричными алгоритмами, которым
не доверяет получатель. Это представляет серьёзную угрозу
безопасности и является несоблюдением политики безопасности
получателя.

Скажем, открытый ключ получателя содержит несколько шифровальных
подключей разного периода действия. Ряд этих подключей уже истёк
(expired), один был аннулирован владельцем ключа из-за обоснованных
подозрений компрометации. Отправитель, имея копию этого ключа, решает
отправить зашифрованное послание. Не имея возможности определить
валидный подключ, от зашифровывает сообщение случайно выбранным
аннулированным и отправляет по каналу связи. Если подключ
действительно был скомпрометирован, злоумышленник сможет
беспрепятственно прочитать сообщение. Таким же образом, даже если
пользователь по тем или иным причинам аннулирует свой ключ в PGP
(Марлин, опять же, не имеет соответствующих механизмов для издания
KRC и генерации ключей с заданным сроком действия) и отправит
аннулированную копию пользователю Марлина, тот, даже импортировав эту
обновлённую копию на связку ключей Марлина, не заметит никакой
разницы и сможет по-прежнему шифровать таким ключом письма. Я не могу
охарактеризовать это иначе, как критическую уязвимость.

Мой прежний открытый ключ, который я вывожу из обращения на
протяжении последних четырёх месяцев, истекает первого января 2004
года. Создавая его в начале 2001-го я исходил из того, что через три
года велика вероятность его компрометации. Спустя несколько дней
пользователи PGP не смогут воспользоваться этим ключом, если только
намеренно не переведут системные часы назад. Однако пользователь
Марлина не заметит разницы и сможет по-прежнему шифровать данные этим
ключом.

Есть пользователи PGP, которые по известным им причинам не доверяют
некоторым реализованным в OpenPGP блочным шифрам. Например, известно,
что из множества вариаций алгоритма CAST надёжным является лишь
CAST5. Кого-то это не убеждает, и он исключает этот алгоритм из
Allowed Algorithms в материале ключа, дабы другие пользователи не
могли использовать CAST5 для отправки ему сообщений. Кто-то не
доверяет 3DES, поскольку в разработке DES участвовало АНБ, а сам шифр
слишком долго был мишенью для спецслужб, крупных компаний и научного
сообщества всего мира. Марлин же позволяет отправителю самому
выбирать, каким алгоритмом воспользоваться для зашифрования, никак не
учитывая предпочтений получателя. Это не прямая угроза безопасности,
но если вдруг один из алгоритмов, реализованных в OpenPGP, будет
взломан, я и другие люди, дорожащие своей информацией (которая,
зачастую, стоит много больше затраченных на её получение средств), не
хотели бы принимать зашифрованных ненадёжным алгоритмом писем.

Во-вторых, что не менее важно, Марлин не имеет собственных механизмов
защиты от атаки "человек в середине" (т.е. механизмов определения
идентичности нескольких копий открытого ключа). Разумеется, можно
экспортировать открытый ключ в файл, вычислить его контрольную сумму
какой-нибудь утилитой по известному алгоритму односторонней
хэш-функции и затем отправить корреспонденту. Он также вычисляет
сигнатуру, которая сверяется, допустим, по телефону. Одно это уже
свидетельствует, что Марлин не является самодостаточной реализацией
OpenPGP. К сожалению, даже документация не упоминает об этой самой
серьёзной уязвимости всех криптосистем с открытым ключом, а программа
перед ней полностью беззащитна.

В-третьих, особенности реализации схемы Эльгамаля в Марлине не
допускают использование сгенерированных в нём ключей Эльгамаля для
коммуникаций с пользователями PGP. Марлин использует асимметричные
ключи тип 1 (RSA), тип 17 (DSA) и тип 20 (Эльгамаль,
шифрование+подписание), в то время как PGP допускает тип 1, 17 и 16
(только шифрование по Эльгамалю). Соответственно, импортированный из
Марлина в PGP ключ типа 20 просто не воспринимается программой, тип
17+20 (DSA+Эльгамаль) позволяет использовать базовый ключ DSA для
сличения подписей, но подключ шифрования Эльгамаля также бесполезен
— PGP не понимает такой формат. Таким образом, пользователи Марлина
могут использовать OpenPGP только для связи между собой либо для
связи с пользователями GnuPG. Для связи с пользователями PGP могут
применяться только ключи RSA.

Кроме того, стоит отметить, что использование ключей Эльгамаля для
шифрования и подписания является нерекомендуемой криптографической
практикой вследствие сложностей реализации. Марлин допускает
генерацию ключей только типа 20. Не столь давно была обнаружена
критическая уязвимость в реализации типа 20 в GnuPG — неверный выбор
показателей генератора и секретной экспоненты привёл к полной
компрометации всех этих ключей: имея ЭЦП такого ключа можно
тривиально вычислить секретный показатель закрытого ключа. Не
подвержен ли Марлин такой уязвимости? Не планируете ли Вы отказаться
от ключей Эльгамаля для подписания?

Выше я привёл лишь самые вопиющие недостатки. Реализация OpenPGP в
Марлине не может быть названа полной, самодостаточной, а главное
надёжной. Поверьте, я не собираюсь просто подвергать Вашу программу
обструкции, я уверен, что в некоторой области это весьма хороший
продукт. Я не оценивал его с позиции защиты от вредоносного кода, что
Вы выдвигаете как одно из основных достоинств, а поэтому у меня нет
оснований сомневаться в данном утверждении. Но реализация OpenPGP в
плане практического применения весьма слаба.

Поэтому у меня есть к Вам скромное предложение-вопрос. Не лучше ли
интегрировать Марлин с PGP на манер TheBAT! Или Джаббер-клиента JAJC?
Разумеется, Вы можете оставить и собственную реализацию OpenPGP, а
интеграцию с PGP просто добавить, дабы пользователь сам мог выбирать,
чему он более доверяет. Кроме того, как Вы смотрите на реализацию в
Марлине стандарта PGP/MIME (RFC 3156)? В настоящее время единственная
поддерживающая его программа — это Eudora, но я до сих пор не
встречал ни одного человека, использующего её в связке с PGP. Сам же
стандарт весьма удобен для передачи зашифрованной электронной почты
со всеми вложениями и сохранённым форматированием текста.

Мой выбор — это PGP. Причиной тому ещё и открытые исходные тексты,
что просто необходимо для криптосистем. Если Марлин также откроет
свой исходный код, привнесёт тесную интеграцию с PGP и поддержку
PGP/MIME, я бы уговорил всех своих знакомых и коллег перейти на эту
программу.

По поводу The-bat раскажу одну страшилку.

Нужно мне как-то было файл найти по критериям, я в тотал командере задал поиск всех файлов с конкретным текстом внутри, обнаружив этот текст в файле по пути ящик/Inbox/messages.tbb – я сильно удивился. Еще сильнее я удивился когда открыл файл messages.tbb и убедился, что письмо которое я стер месяц назад ОСТАЛОСЬ В ФАЙЛЕ ЯЩИКА! Я сначала думал, что у меня глюки, залез в thebat в папки Inbox, trash, включил поиск средствами thebat по всему задав тот-же текст, потом имя отправителя – стертого письма естественно в user-интерфейсе нет! Тут я уже заволновался – сжал папки, на что мне the bat расказал о якобы высвобожденном пространстве, вышел открыл файл ящика – СТЕРТОЕ ПИСЬМО НИКУДА НЕ ДЕЛОСЬ. Версия это была вроде 2.60 – c тех пор ну его к черту, The bat этот, какая разница как в нем работает PGP если любой получивший доступ к компу может читать письма которым куча лет!

Maxi, как известно, криптография защищает информацию, только когда она зашифрована. PGP интегрирован в TheBAT только с целью шифрования / расшифрования исходящей / входящей корреспонденции, сами базы писем никак особым образом не защищаются (разумеется, если письмо было сохранено в зашифрованом виде, оно таковым и останется). Вообще наиболее оптимальным я вижу установку мэйл-клиентов прямо в контейнер PGPdisk и работу с ними оттуда. Либо, аналогично, можно в контейнер просто базы перенести.

Тут возникает другая проблема. Как известно винды дырявы как решето, поэтому иметь подключенный в систему PGP контенер одновременно с установленным internet-соединением с точки зрения моей паранои довольно опастно. Как вариант – заведение отдельного PGPконтенера с своим паролем (ключем) только для почты. Вобщем все это сильно усложняет дело.


Еще thebat плох тем, что много троянов умеют воровать его пароли ;)

http://marlin-mail.com/eng/ почил =)

Прискорбно.