GnuPG Sisteminde Kullanılan El-Gamal İmza Anahtarlarında Problem

(FM kurucu editörlerinden sundance´in uyarısına göre:) Phong Nguyen isimli uzmanın tespitine göre GnuPG sayısal şifreleme ve belge imzalama sisteminde kullanılan ve sistemin belge imzalama kısmını ilgilendiren ElGamal anahtar oluşturma kısmında ciddi bir problem mevcut. Bu ciddi açıktan yola çıkarak ElGamal imzalı belgelerde değişiklik yapmak ve daha da önemlisi bunlardan yola çıkarak belgeyi imzalayan kişinin sahip olduğu özel (private) sayısal anahtarı birkaç saniyede öğrenmek mümkün.

Konu ile ilgili ilk resmi yazışmalardan birini bu adreste okuyabilirsiniz.

27 Kasım tarihli bu e-posta içinde GnuPG ekibinin en kısa sürede bu durumu gidereceği de belirtiliyor. Şifreleme denilen alanın her an sürprizlere açık olduğuna dair iyi bir örnek olan bu haberin çağrıştırdıkları hakkında düşünmekte fayda var. Burada ElGamal algoritmasına içkin bir zayıflıktan ziyade bu algoritmanın bir parametresi yani bir sayının büyüklüğü ile oynanması sonucundan problemin çıktığı görülüyor. Bir işi kolaylaştırmak, hızlandırmak için yapılan çok basit bir değişikliğin o işin güvenliğini bir anda nasıl sarsabileceğine dair güzel bir matematiksel örnek olduğunu düşünüyorum.

İlgili Yazılar

Paranoyaklar için THL

FZ
26 Şubat 2002, 1 dakika okuma süresi

Güvenlik konusunda hassas bir insan olabilirsiniz. Kullandığınız bilgisayarın klavyesinde bastığınız tuşların bir yazılım ya da donanım tarafından bir yerlere kaydedildiğini düşünüyor olabilirsiniz (key logging). PGP anahtarlarınızın çalınacağından korkuyor olabilirsiniz. Ya da birilerinin TEMPEST yöntemi ile sistemi gözetlediğinden şüpheleniyor olabilirsiniz.

Yani kısaca paranoyak olabilirsiniz ve o zaman Tinfoil Hat Linux ilginizi çekebilir.

Not: Biraz fazla popüler olan bu yazılımın web sitesi eğer sizi hayal kırıklığına uğrattı ise bana küfretmeden önce sistemin yazarının iddia ettiği gibi birkaç hafta bekleyin, olmazsa şikayetlerinizi gene yukarıda bahsi geçen kişiye iletin ;-)

DEF CON 10 zamanı açıklandı

anonim
4 Mayıs 2002, 1 dakika okuma süresi

DEF CON'un 10.sunun zamanı ve yeri açıklandı. Yer: Las Vegas, Nevada Alexis Hotel. Zaman ise 2-4 Agustos arası. DEF CON'u ilk defa duyanlar icin kısa bir açıklama: Dünyanın en büyük hacker partisi!

Elime geçen programa gore: Alan içerisinde 802.11b wireless network olacakmış. (Laptopını al ve konferans sırasında fazlamesai'ye haber yaz yani) Call for Papers icin ise su linke başvurmanız gerekiyor. Bu sene 3 konuşma alanı olacakmış. Ayrıca da 150'şer kişilik iki tane de demo odası. Örneğin TiVOnuzu nasıl hack edersiniz gibi toplu gosteriler oralarda yapılacakmış.

Türkiye'de Elektronik İmza Sonunda Başlıyor

anonim
19 Temmuz 2005, 1 dakika okuma süresi

Türkiye'de ıslak imza ile aynı hukuki sonuçları doğuracak elektronik imza (e-imza) dağıtımı başlıyor.

Türkiye'de e-devlet uygulamalarının gelişmesini sağlayacak olan elektronik imzada (e-imza) geri sayım başladı. Sektörde faaliyet göstermek üzere Telekomünikasyon Kurumuna başvuran 3 firmadan biri olan Türktrust, istenilen şartları karşılayarak kurumdan yetki belgesi aldı.

Kaynak: http://www.hurriyetim.com.tr

Web tabanlı ücretsiz Antivirus Uygulaması

SHiBuMi
7 Nisan 2002, 1 dakika okuma süresi

Virüslerle mücadele için şimdiye kadar kullandığım tek yöntem tanımadığım kimselerden gelen e-postaları açmamak ve ne olduğunu bilmediğim .exe uzantılı dosyaları açmamaktan ibaretti. Şimdiye kadar da bir problem yaşamadım. Antivirüs yazılımlarına hiçbir zaman ısınamadım, oraya buraya yerleştirdikleri tarayıcı uygulamalar yüzünden zırt pırt makinayı çökertmekten başka bir işe yaradıklarını da görmedim. Trend Micro firması benim gibi kullanıcıların çok hoşuna gidecek bir iş yapmış ve web tabanlı, ücretsiz olarak kullanılabilen bir virüs tarayıcısı geliştirmiş.

Symantec'den log analizi...

RoR
28 Temmuz 2005, 1 dakika okuma süresi

Symantec internet güvenlik takibini, Kişisel bilgisayarlardaki firewall loglarından faydalanarak genişletiyor.