Пароль контейнера висит в RAM-пямяти !!! ЭТО ПРОБЛЕМА

Господа, всем доброго дня!
Намедни прочел статейку в "Комьютербилде", там был обзор про криптосистемы. Так вот, PGP опустили ниже плинтуса... Сказали, что PGP хранит пароли от контейнеров в оперативке ДАЖЕ после закрытия контейнера! Я проверил... Млин......... И точно!
Я всегда был поклонником PGP Desktop Professional, юзаю последнюю версию и не нарадуюсь... После того как обнаружил казанную мягко говоря проблему, не знаю что и думать...

Ваше мнение?

Дима

На страницу: 1, 2, 3 След.

Комментарии

—	SATtva (04/02/2009 20:30) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

Single sign-on пробовали отключать?

—	*Гость* (04/02/2009 20:40) <#>

Вы спросили: "Single sign-on пробовали отключать?"

И чего? Где такие настройки хранятся – не знаю, такого пункта настройки в Options нет. Есть только "Do not save my passphrase" (включено НЕ сохранять)...

Есть ещё "супер" (в кавычках) фишка, когда кликаешь на значке PGP в трее правой кнопкой мыши, выдается меню в котором есть пункт "Clear Caches". Для чего выводить отдельный пункт для очистки кэша – не понятно. Это очень не удобно, мне кажется это отмазка GPG на такой факап как хранение паролей в кэше...)))

Есть ещё соображения?

—	SATtva (04/02/2009 20:45) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

Пока пароль кэширован, он очевидно будет в ОЗУ.

– Доктор, когда я вот так делаю [заламывает себе руку за спину], у меня плечо болит.
– Не делайте.

—	*Гость* (04/02/2009 21:06) <#>

SATtva, Вы думаете что не о чем беспокоиться? Просто надо нажимать на "пимпочку" очистки кэша? )))
Ууухх...круто...)))

ОК. Понял, оставим этот вопрос на усмотрение создателей PGP...)))

Спасибо. Только Вы не ответили на вопрос: ГДЕ НАХОДИТСЯ НАСТРОЙКА А-ЛЯ Single sign-on ?
Мне кажется в версии 9.9.0 такой нет. Подскажите где – буду признателен...)))

—	SATtva (05/02/2009 13:44) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

У меня нет Винды. Если Вы заявляете, что пароль висит в памяти несмотря на отключение кэширования, и что Вы это собственноручно проверили и подтвердили, и что висит он в памяти процессов PGP, а не был скопирован куда-нибудь самой Виндой, то пишите на security@pgp.com, ибо это реальная брешь безопасности, и Вам там скажут большое спасибо.

—	*Гость* (05/02/2009 14:03) <#>

SATtva, зачем Вы закрыли соседнюю тему? Эта – про хранение пароля в памяти, та – о результатах теста.

Вот кусок этого теста: http://www.computerbild.ru/soft/27446/ Они непрофессионалы.

—	SATtva (05/02/2009 14:18) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

В обеих темах ссылаются на результаты одного исследования (если его действительно можно так назвать).

—	Мухтар (05/02/2009 20:26) профиль/связь <#> комментариев: 155 документов: 20 редакций: 5

Извините, но не протестировать на подобные хаки программу такого уровня – просто ламерство какое-то!

—	SATtva (05/02/2009 20:56) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

Мне было бы интересно увидеть независимое подтверждение.

—	Мухтар (05/02/2009 23:48) профиль/связь <#> комментариев: 155 документов: 20 редакций: 5

>>>Я проверил... Млин......... И точно!

Вот пусть автор и напишет подробно, как он проверил, чтобы пользователи программы смогли повторить эксперимент.

—	*Гость* (07/02/2009 09:54) <#>

Использование токенов во многом снимает актуальность проблемы утечки паролей.

—	Alex_LG (07/02/2009 14:31) <#>

Использование токенов во многом снимает актуальность проблемы утечки паролей.

ага, зато ставит проблему вероятности взлома токена

—	SATtva (07/02/2009 16:55) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

Это в какой-то мере превышает риск/стоимость компрометации пароля?

—	*Гость* (16/02/2009 20:57) <#>

УВАЖАЕМЫЕ СОМНЕВАЮЩИЕСЯ, СПРАШИВАЛИ? ОТВЕЧАЮ...
ДЛЯ НАЧАЛА ВВОДНАЯ: У МЕНЯ (Divitis) СТОИТ PGP 9.9.0...

А теперь приступим-с к разоблачению...))) Только не хмурьтесь, я бы ничего не написал если б сам не пощупал результат...

Порядок действия таков:
1) качаем софт указанный в статье Computerbild, чтобы Вам не мучиться, качайте софтину по ссылке http://slil.ru/26650622 (программа HxD v1.7.6.6)
2) Создаем супер-пупер PGP-диск, при этом вводим пароль (который естессссно помните...)
3) Открываете PGP-диск....
и......

ПРОВЕРКА (1)
Запускаем указанную софтинку HxD. Ищем пункт меню "Extras" -> "OpenRAM"->из списка выбираем нужную программу, в нашем случае PGPTray -> нажимаем нужный пункт и вуаля... появляются "внутренности" RAM.
Теперь выбираем пункт "Search" -> "Find" -> в окошке которое появится ставите галочки на пунктах "Unicode..." и "Case..." и справа отмечаем "искать везде" (All). ТЕПЕРЬ ВВОДИМ СВОЙ ПАРОЛЬ. Нажимаем кнопку ОК.... Все! Вуаля...:-))) Софтинка покажет нам пароль, причем в абсолютно раздетом виде...то есть без всяких там символов и прочего мусора, при этом до пароля будет такая страааааная надпись, типа pass либо password... Ась? Каково? :-)))

ПРОВЕРКА (2): закрываем наш супер-пупер PGP-диск...и естесссно повторяем операцию... Ответ будет тот же...:-)))

Кстати, иногда программа смело кричит что мол ничего не найдено...если нажать ещё раз на поиск – все равно найдет...))) В 90% случаев находила с первого раза!

И чего теперь прикажете делать? ))) Молчать?

Как говорится, "дорогу осилит идущий" либо "практика критерий истины". Каждый пусть выберет для себя нужный контекст.

А всем обиженным, с болезненным восприятием...можете не отвечать...)))

—	SATtva (16/02/2009 21:10, исправлен 16/02/2009 21:12) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

Опция Do not save my passphrase (или как её там) в настройках PGP включена?

Кто-нибудь ещё может подтвердить? Если да, буду писать Калласу.

На страницу: 1, 2, 3 След.

Ваша оценка документа [показать результаты]