GnuPG Sisteminde Kullanılan El-Gamal İmza Anahtarlarında Problem

0
FZ
(FM kurucu editörlerinden sundance´in uyarısına göre:) Phong Nguyen isimli uzmanın tespitine göre GnuPG sayısal şifreleme ve belge imzalama sisteminde kullanılan ve sistemin belge imzalama kısmını ilgilendiren ElGamal anahtar oluşturma kısmında ciddi bir problem mevcut. Bu ciddi açıktan yola çıkarak ElGamal imzalı belgelerde değişiklik yapmak ve daha da önemlisi bunlardan yola çıkarak belgeyi imzalayan kişinin sahip olduğu özel (private) sayısal anahtarı birkaç saniyede öğrenmek mümkün.

Konu ile ilgili ilk resmi yazışmalardan birini bu adreste okuyabilirsiniz.
27 Kasım tarihli bu e-posta içinde GnuPG ekibinin en kısa sürede bu durumu gidereceği de belirtiliyor. Şifreleme denilen alanın her an sürprizlere açık olduğuna dair iyi bir örnek olan bu haberin çağrıştırdıkları hakkında düşünmekte fayda var. Burada ElGamal algoritmasına içkin bir zayıflıktan ziyade bu algoritmanın bir parametresi yani bir sayının büyüklüğü ile oynanması sonucundan problemin çıktığı görülüyor. Bir işi kolaylaştırmak, hızlandırmak için yapılan çok basit bir değişikliğin o işin güvenliğini bir anda nasıl sarsabileceğine dair güzel bir matematiksel örnek olduğunu düşünüyorum.

İlgili Yazılar

SQL Server 7.0 için yazılmış WORM yakalandı

FZ

Sistem yöneticisi (sa user) için parola tanımlanmamış SQL Server 7.0 veritabanı sunucu sistemine sızabilen bir worm yazılımı (kurtçuk) yakalandı.

Sisteme girebildikten sonra iki Truva atı (Trojan horse) programını sisteme yerleştiren worm yazılımı bu şekilde kontrolü worm yaratıcısına aktarmaya çalışıyor.

Gerçek anlamda tesadüfi sayılar

sundance

Malum, bilgisayarlarla gerçek anlamda tesadüfi sayı üretmek mümkün değil. Bu tür sayı üretimi için bulunabilmiş en iyi yöntem atom parçacıklarının dağılmalarından faydalanmaktı.

Öte yandan herkesin bu yöntemi kullanması, bazı bariz sebeplere (RADYASYON okunur) mümkün değildi.

Şimdi ise ilk defa Quantum Random Generator'ı Internet üzerinden hizmete sokuldu.

Web Güvenlik Topluluğu Buluşması - 14 Kasım

anonim

Web Güvenlik Topluluğu tarafından düzenlenen web güvenliği etkinliğine web güvenliği ile ilgilenen herkes davetlidir.

Kötü adamlar ve arka kapılar

sundance

Uzun bir süreden beri (Truvalılardan bu yana ;) hileli oyuncaklar hep güncelliğini korumuşlardır. Truva şehrinin düşmesinden, James Bond numaraları ile çeşitli sırları ele geçiren casuslara kadar tarih boyunca, asıl amacını gizleyen aletler hep büyük avantaj olmuştur.

Son yirmi yılda ise, bilgisayarın ve ağların yaygınlaşması ile, bu eski hileli savaş araçlarının yerini sistemdeki zayıflıklar, belli bir işi görüyormuş gibi davranan ama arka planda başka numaralar çeviren programlar almıştır. Tacettin Karadeniz arkadaşımız da, sözkonusu zayıflıkları sağlayan Arkakapıları [Backdoor] anlatan enfes bir makale yazmış, ilgi ile okuyoruz.

PGP Yeniden Open Source oluyor mu ?

sundance

Newsforge`da yayınlanan habere göre PGP`nin yazarı Zimmerman, 1997 yılında PGP`i sattığı Networ Associates şirketine, PGP`i Open Source yapmaları ya da kendisine geri satmaları isteğiyle başvurmuş.

Zimmerman`ın isteğinin temel sebebi, önce Nasdaq Kasım 2000 krizi ile, sonra da 11 Eylul 2001 krizi ile vurulan Silicon Vadisi`nin girdiği kriz, ve dolayısıyla Network Associates`in PGP konusunda sürdürülebilir bir model ortaya koyamaması ve son olarak da PGP konusunda çalışan bütün mühendislerinin işine son vermesi.

Zimmerman`ın önerdiği modeller OpenSource ve şirket yapısının nasıl biraraya getirileceği konusunda ilginç açılımlar içeriyor...