GnuPG Sisteminde Kullanılan El-Gamal İmza Anahtarlarında Problem

0
FZ
FZ
25 Aralık 2003 , 1 dakika okuma süresi
(FM kurucu editörlerinden sundance´in uyarısına göre:) Phong Nguyen isimli uzmanın tespitine göre GnuPG sayısal şifreleme ve belge imzalama sisteminde kullanılan ve sistemin belge imzalama kısmını ilgilendiren ElGamal anahtar oluşturma kısmında ciddi bir problem mevcut. Bu ciddi açıktan yola çıkarak ElGamal imzalı belgelerde değişiklik yapmak ve daha da önemlisi bunlardan yola çıkarak belgeyi imzalayan kişinin sahip olduğu özel (private) sayısal anahtarı birkaç saniyede öğrenmek mümkün.

Konu ile ilgili ilk resmi yazışmalardan birini bu adreste okuyabilirsiniz.
27 Kasım tarihli bu e-posta içinde GnuPG ekibinin en kısa sürede bu durumu gidereceği de belirtiliyor. Şifreleme denilen alanın her an sürprizlere açık olduğuna dair iyi bir örnek olan bu haberin çağrıştırdıkları hakkında düşünmekte fayda var. Burada ElGamal algoritmasına içkin bir zayıflıktan ziyade bu algoritmanın bir parametresi yani bir sayının büyüklüğü ile oynanması sonucundan problemin çıktığı görülüyor. Bir işi kolaylaştırmak, hızlandırmak için yapılan çok basit bir değişikliğin o işin güvenliğini bir anda nasıl sarsabileceğine dair güzel bir matematiksel örnek olduğunu düşünüyorum.
Güvenlik
Linkedin Facebook Twitter Google plus

Görüşler

Görüş belirtmek için giriş yapın...

İlgili Yazılar

Fazlamesai bir zavallıyı takdim eder...
sundance
24 Nisan 2003, 2 dakika okuma süresi

Bugün irc.freenode'daki #fazlamesai kanalında arkadaşlarla sohbet ederken, kanalın müdavimlerinden Xybernaut'un nickine benzeyen nickli biri bana özelden mesaj attı, bu ve ardından gelişen zavallı muhabbeti okumanızı isterim. Görün bakın ülkemizde social engineering ne kadar zavallı durumlarda, ne salaklar var :)

Xyber[busy]] cc varmi elinde ?
[sundance] cc ne be ?
[sundance] kredi kartı mı ?
[Xyber[busy]] kredi karti
[sundance] var nolcak ?
[Xyber[busy]] bilgileri ver az
[Xyber[busy]] cok lazim
[Xyber[busy]] neyse oderim
[sundance] :)) haaa, sen benden kaçak kredi karti numarası istedin ?
[sundance] vay çakal vay, rezil etmez miyim ben seni simdi FM camiasına :))

Microsoft Yamana Yamana Ne Hale Geldi ?
sundance
27 Şubat 2001, 1 dakika okuma süresi

Outlook`da bir açık daha. Zaten Lovebug ve Anna wormlarından sonra, artık önüne gelen Vbasic`çi virüs yazmaya başladı `Nasıl olsa Outlook`da bir şekilde çalışır` diye :)

Son virüs benim hep illet olduğum (Outlook kullanmadığımdan olsa gerek) maillara eklenen VCARD dosyası sayesinde yayılmakta. Artık ne yapacağı yaratıcılığa kalmış, ekrana bir yazı çıkartabilir, harddiskinizi formatlar, sharinglerinizi full açar vs.
Allahtan MS hemen bir patch yayınlamış. Detaylı haber Wired'da

NSA Bizi Yiyor Mu?
experience
10 Şubat 2006, 1 dakika okuma süresi

NSA'yı biliyoruz, söylenene gore hepimizi, her şeyimizi dinliyor bu keratalar.

Washington Post'ta 27 Ocak'ta yayımlanmış bir haber denk geldi. Habere burdan ulaşabilirsiniz.

Haberin özeti: Bush, NSA'yı ziyaret etmiş. Buraya kadar normal ama bu haberden ben NSA'nın pek de alengirli kulengirli sistemler kullanmadığına kanaat getirdim (bizi yiyor olmasınlar sakın?)

Cep Telefonları ve Şifreleme Algoritmaları
FZ
18 Ekim 2001, 1 dakika okuma süresi

GSM sistemi ile çalışan cep telefonlarının veri iletişim güvenliği ile ilgili olarak son günlerde pek çok gazete haberi ile karşılaşmış ve belki de bir kısmını okumuşsunuzdur. Benim burada dikkati çekmek istediğim ise öyle komplo teorileri ya da işte hangi GSM iletişim şirketi kimin telefonunu ne kadar dinlemiş falan değil.

Daha teknik bir konu ile ilgili birkaç belge adresi vermek istiyorum. Cep telefonlarında iki taraflı iletişim şifrelemesi için hemen hemen tüm dünyada yaygın olarak A5 (A5/1 ve A5/2) algoritmaları kullanılıyor. Peki bu algoritmalar ne kadar güvenli ?

Visa&Mastercard Hacked !
anonim
19 Şubat 2003, 1 dakika okuma süresi

İki firmanın salı günü en büyük güvenlik sızmalarından biri olarak belirttikleri olayda, bir bilgisayar korsanı toplam 8 milyon Visa ve MasterCard hesabına erişti.