GnuPG Sisteminde Kullanılan El-Gamal İmza Anahtarlarında Problem

0
FZ
FZ
25 Aralık 2003 , 1 dakika okuma süresi
(FM kurucu editörlerinden sundance´in uyarısına göre:) Phong Nguyen isimli uzmanın tespitine göre GnuPG sayısal şifreleme ve belge imzalama sisteminde kullanılan ve sistemin belge imzalama kısmını ilgilendiren ElGamal anahtar oluşturma kısmında ciddi bir problem mevcut. Bu ciddi açıktan yola çıkarak ElGamal imzalı belgelerde değişiklik yapmak ve daha da önemlisi bunlardan yola çıkarak belgeyi imzalayan kişinin sahip olduğu özel (private) sayısal anahtarı birkaç saniyede öğrenmek mümkün.

Konu ile ilgili ilk resmi yazışmalardan birini bu adreste okuyabilirsiniz.
27 Kasım tarihli bu e-posta içinde GnuPG ekibinin en kısa sürede bu durumu gidereceği de belirtiliyor. Şifreleme denilen alanın her an sürprizlere açık olduğuna dair iyi bir örnek olan bu haberin çağrıştırdıkları hakkında düşünmekte fayda var. Burada ElGamal algoritmasına içkin bir zayıflıktan ziyade bu algoritmanın bir parametresi yani bir sayının büyüklüğü ile oynanması sonucundan problemin çıktığı görülüyor. Bir işi kolaylaştırmak, hızlandırmak için yapılan çok basit bir değişikliğin o işin güvenliğini bir anda nasıl sarsabileceğine dair güzel bir matematiksel örnek olduğunu düşünüyorum.
Güvenlik
Linkedin Facebook Twitter Google plus

Görüşler

Görüş belirtmek için giriş yapın...

İlgili Yazılar

Biyometrik Güvenlik ve Uygulama Kolaylığı
FZ
12 Kasım 2001, 1 dakika okuma süresi

Pek çok filmde biyometrik güvenlik ile karşılaşmışsınızdır. Mesela adam kapıya elini koyar ve adamı tanıyan sistem kapıyı açar, kadın asansöre biner ve bir kat numarası söyler ve kadının sesini analiz eden asansör bilgisayarı kadın eğer yetkili ise hareket etmeye başlar veya bir sistemi kullanmaya çalışan kişi karşısındaki kameraya bakar bakmaz sistem iris tabakası şeklini analiz eder ve elindeki eski bilgilerle bir kıyaslama yapar...

Kulağa hoş geliyor değil mi? Yani taşımanız gereken bir anahtar veya akıllı kart yok, hatırlamanız gereken ve zırt pırt unuttuğunuz bir sürü parola, şifre vs. yok. Tamamen sizi bedensel özelliklerinize yani size özgü ve taklit edilmesi nerede ise imkansız işaretlere dayanan güvenlik sistemleri.

Gerçek anlamda tesadüfi sayılar
sundance
19 Temmuz 2007, 1 dakika okuma süresi

Malum, bilgisayarlarla gerçek anlamda tesadüfi sayı üretmek mümkün değil. Bu tür sayı üretimi için bulunabilmiş en iyi yöntem atom parçacıklarının dağılmalarından faydalanmaktı.

Öte yandan herkesin bu yöntemi kullanması, bazı bariz sebeplere (RADYASYON okunur) mümkün değildi.

Şimdi ise ilk defa Quantum Random Generator'ı Internet üzerinden hizmete sokuldu.

Okulu Bırakıyorum, Okula Gidiyorum!
PCc0d3r
2 Aralık 2001, 1 dakika okuma süresi

Her zaman demişimdir Türkiye'deki eğitim sistemi bir işe yaramaz diye. Hele bir de şu haberi duyunca Fransa'da oku diye fısıldadı şeytan bana: Fransa'da Zi Hackademy adında (elbette resmi olmayan) bir okul açılmış. 450 Franc karşılığında gittiğiniz okul toplam 9 saat ders veriyor ve verilen eğitimin konusu ise bence cok ilgi çekici: "bir sistem nasıl hack edilir?".
Ben daha fazla dayanamayacağım haberi biraz daha araştıracağım. Siz nerden mi başlayacaksınız işte buradan.

Kriptografi ne kadar güvenli?
e2e
17 Haziran 2004, 1 dakika okuma süresi

Bir süredir devam eden, ABD'nin, İran gizli servisinin iletişimini izlediği yönündeki tartışmaları duymuşsunuzdur. Olay ilk önce bu bilgiyi İran'ın nasıl elde ettiği etrafında dönüyordu. Senaryolardan en kuvvetli olanı ise bir dönemler ABD'nin Irak'ta en çok güvendiği ve gizli servis hizmetlerinden dolayı aylık $335,000 ödediği Ahmad Chalabi'nin bu bilgiyi, içkili bir ABD gizli servis ajanından aldığı ve İran'a verdiğiydi.

BBC'deki bu haber ise olayın teknik olarak nasıl yapılıyor olabileceği üzerinde duruyor.
Çeşitli güvenlik uzmanlarıyla yapılan röportajlardan alıntılarla günümüz kriptografi uygulamalarının kırılamayacağı, bu izleme olayının insan hatası(?) veya bir backdoor sayesinde yapılmış olabileceği anlatılıyor.

Alıntılardan biri beni biraz düşündürttü: Acaba?!

"The Code Book" kitabının yazarı Simon Singh: "... Bugün bir email göndersem, dünyanın tüm gizli servisleri, dünyanın tüm bilgisayarlarını kullansalar dahi çözemezler. Şifrelemeyi yapanlar şifre kırıcıları karşısında oldukça büyük bir avantaja sahipler."

CanSecWest: Bilgi eksikliği mi yoksa kaya gibi bir işletim sistemi mi?
darkhunter
31 Mart 2008, 1 dakika okuma süresi

CanSecWest tarafından, geçtiğimiz günlerde Kanada'da düzenlenen pwn2own adlı yarışmanın sonucu, ilginç bir tartışmayı da beraberinde getirdi.

Windows Vista SP1, Mac OS X 10.5.2 ve Ubuntu 7.10 yüklü bilgisayarların, bilişim güvenliği alanında deneyimli katılımıcıların becerileriyle ele geçirilmesinin amaçlandığı yarışmada, sizce hangi işletim sistemi düşürülemedi?