Ernstig security lekken in GnuPG ontdekt
Er zijn twee ernstige lekken in GNU Privacy Guard software (GnuPG) ontdekt die door aanvallers misbruikt kunnen worden om bepaalde security restricties te omzeilen. Het oudste lek, dat al op 15 februari gepatcht werd, zorgde ervoor dat "automated signature checkers" gedownloade bestanden als veilig beschouwden, ook al was de handtekening van het bestand vervalst.
Het tweede lek gaat om het gebruik van GPG om digitale handtekeningen te controleren. Een aanvaller kan door het lek extra willekeurige data aan een getekend bericht toevoegen, zonder dat dit invloed heeft op de getekende status van het bericht. Dit kan bijvoorbeeld gebruikt worden om een getekende advisory via e-mail te versturen of de digitale handtekening van software updates te vervalsen.
Het "Unsigned Data Injection Detection" lek is aanwezig in alle versies voor 1.4.2.2. Versie 1.9.x (development branch) is niet kwetsbaar, tenzij het "deprecated gpg" gebruikt wordt. Gebruikers wordt aangeraden om te upgraden naar 1.4.2.2. of nieuwer.
Update: tekst aangepast
ontsleutelen maken een paar onzinnige bugs ook niets meer uit.
Och, zolang je weet dat elke inlichtingen en opsporingsdienst PGP kan ontsleutelen maken een paar onzinnige bugs ook niets meer uit.
Och, zolang je weet dat elke inlichtingen en opsporingsdienst PGP kan
ontsleutelen maken een paar onzinnige bugs ook niets meer uit.
Er is een verbod om goederen te verkopen waarmee staatsveiligheid
ondermijnt kan worden.
Met andere woorden dit bewijst al genoeg dat alles wat getolereerd word
geen probleem vormt.
Aangezien je PGP gewoon legaal in de winkel kan kopen, net zoals vele
andere crypto oplossingen is er dus een key-escrow ingebouwd voor
overheden.
Overigens zal dit door niemand bevestigd worden omdat dat juist weer de
staatsveiligheid ondermijnt....
http://www.security.nl/article/13128/1/Boete_dreigt_voor_17_Nederlandse_I
SPs_wegens_aftappen.html
Toevallig dient het antwoord op jou vraag zich zojuist als artikel aan ;-)
Hoe weet je dat en waar is het bewijs?
Heb jij "Digital Fortress" van Dan Brown dan niet gelezen ;)
echte data heen. Zoals je mogelijk weet is de getekende data
omringt door een openingsstring van pgp en een
closingsstring van pgp met daarin de authentiteits sleutel.
PGP controleert alleen wat binnen die strings bevindt met de
sleutel. Wat er buiten valt wordt niet gecontrolleerd, dat
is logisch. Het is alsof je een papieren contract met
handtekening hebt en er is een extra vel toegevoegd.
Is dat niet die fantast van de Da Vinci Code ?
hihi, die man schrijft spannende romans, meer niet. Het semi-
wetenschappelijk ogende karakter ervan is heel erg veel nep.
Hoe weet je dat en waar is het bewijs?
Heb jij "Digital Fortress" van Dan Brown dan niet gelezen ;)
Er is een verbod om goederen te verkopen waarmee
staatsveiligheid ondermijnt kan worden.
Met andere woorden dit bewijst al genoeg dat alles wat
getolereerd word geen probleem vormt.
Wat een onzin. Met een mes kan je de staatsveiligheid ook
ondermijnen, maar die dingen kan je ook in elke blokker
kopen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
