Nederlander vindt gat in PGP
Gerard Tel schrijft: "Eerder hebben jullie een aankondiging kunnen lezen van de afstudeer-
voordracht van Sieuwert van Otterloo. Sieuwert heeft tijdens zijn
afstudeeronderzoek een exploiteerbare bug gevonden in het populaire
email-beveiligingsprogramma PGP (Pretty Good Privacy). Dat de bug
bestaat is erkend door Networks Associates, de fabrikant van PGP,
die op de dag van de voordracht met een bug fix uitkomt.
Sieuwert kan daarom op 4 september onthullen hoe hij deze bug
gevonden heeft en hoe hij werkt. Ook over enkele eerder gevonden
bugs in PGP wordt verteld.
Het veiligheidslek heeft te maken met het zogenaamde "Network
of Trust" dat in PGP moet verzekeren dat een gebruiker beschikt
over de juiste publieke sleutels van andere gebruikers. Het lek
staat een aanvaller toe zelf een sleutel te maken en deze in een
keyring te laten komen onder een andere naam.
Sieuwert's voordracht is interessant voor belangstellenden in
computer beveiliging, cryptografie en software engineering.
"
Nog even de gegevens:
Tijd Dinsdag 4 september om 15.00
Plaats CentrumGebouw Noord, C009
Universiteit van Utrecht
Spreker Sieuwert van Otterloo
Titel A security analysis of Pretty Good Privacy
(vrij toegankelijk)
Stel je maakt met PGP een publieke en een privesleutel aan met bijv. het e-mail adres [email]security-announcements@microsoft.com[/email].
Vervolgens zet je de publieke sleutel op de keyserver (http://pgpkeys.mit.edu/add_key.html).
Met een anonymous mailer publiceer je een of ander bericht met afzender [email]security-announcements@microsoft.com[/email] en signeert het met de prive sleutel.
Zodra de ontvanger het bericht ontvangt, vraagt hij de publieke sleutel op en controleert of de handtekening klopt met het e-mail adres. Dit klopt, dus wordt de afzender vertrouwd.
Er zit echter nergens een controle mechanisme in wie er achter het e-mail adres zit, wel dat het bericht getekend is door het betreffende e-mail adres.
Maak ik hier een redeneerfout?
Gerard Tel schrijft: "Eerder hebben jullie een aankondiging kunnen lezen van de afstudeer-
voordracht van Sieuwert van Otterloo. Sieuwert heeft tijdens zijn
afstudeeronderzoek een exploiteerbare bug gevonden in het populaire
email-beveiligingsprogramma PGP (Pretty Good Privacy). Dat de bug
bestaat is erkend door Networks Associates, de fabrikant van PGP,
die op de dag van de voordracht met een bug fix uitkomt.
Sieuwert kan daarom op 4 september onthullen hoe hij deze bug
gevonden heeft en hoe hij werkt. Ook over enkele eerder gevonden
bugs in PGP wordt verteld.
Het veiligheidslek heeft te maken met het zogenaamde "Network
of Trust" dat in PGP moet verzekeren dat een gebruiker beschikt
over de juiste publieke sleutels van andere gebruikers. Het lek
staat een aanvaller toe zelf een sleutel te maken en deze in een
keyring te laten komen onder een andere naam.
Sieuwert's voordracht is interessant voor belangstellenden in
computer beveiliging, cryptografie en software engineering.
"
Nog even de gegevens:
Tijd Dinsdag 4 september om 15.00
Plaats CentrumGebouw Noord, C009
Spreker Sieuwert van Otterloo
Titel A security analysis of Pretty Good Privacy
(vrij toegankelijk)
Volgens mij bestaat er een heel ander soort van bug in het principe van de publieke sleutels.
Stel je maakt met PGP een publieke en een privesleutel aan met bijv. het e-mail adres [email]security-announcements@microsoft.com[/email].
Vervolgens zet je de publieke sleutel op de keyserver (http://pgpkeys.mit.edu/add_key.html).
Met een anonymous mailer publiceer je een of ander bericht met afzender [email]security-announcements@microsoft.com[/email] en signeert het met de prive sleutel.
Zodra de ontvanger het bericht ontvangt, vraagt hij de publieke sleutel op en controleert of de handtekening klopt met het e-mail adres. Dit klopt, dus wordt de afzender vertrouwd.
Er zit echter nergens een controle mechanisme in wie er achter het e-mail adres zit, wel dat het bericht getekend is door het betreffende e-mail adres.
Maak ik hier een redeneerfout?
Nee je maakt geen redeneerfout. Dit is inherent aan PGP, waarin mensen hun eigen sleutelparen kunnen certificeren. Dit in tegenstelling tot hierarchische PKI omgevingen, waarin een "autoriteit" verantwoordelijk gesteld kan worden voor de uitgifte van een certificaat. Die autoriteit moet dan ook daadwerkelijk controleren of het sleutelpaar bij (in dit geval) het e-mail adres past. Ik geloof dat PGP tegenwoordig ook hierarchisch kan werken, maar dat weet ik niet zeker. Sinds ik geen OS/2 meer gebruik, gebruik ik ook geen PGP meer.
Groetjes,
Sjonnie
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (Operationele Techniek)
bij HHNK
Heb jij een passie voor informatiebeveiliging en wil je jouw expertise inzetten in een organisatie met impact? Solliciteer nu! Bij HHNK hechten we veel waarde aan de veiligheid van onze informatie en systemen. Met een breed scala aan operationele techniek (OT) voor onze taken, is het essentieel om deze veilig te houden.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.