sina.com.cn |
| ||||||||
|
|
在流行的电子邮件加密软件PGP的最新的版本中发现了一个安全缺陷。德国的密码研究人员Ralf Senderek星期四公布了这个漏洞,它使第三方可以非法的阅读经过加密的电子邮件。然而专家说这个漏洞更多的是理论上的,而不是现实的威胁,现在还没有这个漏洞曾被利用过的报告。 PGP有商业的和免费的版本,它是最流行的加密软件之一,企业的用户和消费者都在使用它。问题的产生据说是由于Network Associates增加的一个"key escrow"的功能。它指的是创建并且存储附加的密钥,从而让收件人以外的人士——比如老板或政府——能解开一条消息或文件。星期四Network Associates在它的网站上承认了这一缺陷,并且答应提供一个补丁。另外,在卡耐基·梅隆大学的CERT协调中心就此事也提出了一个建议。 PGP用户有一个公众的和一个私人的密钥。公钥用来加密电子邮件,公钥证书在用户的电子邮件、公共的服务器或网页上。而要解开加密过的电子邮件,就要知道私人的密钥。现在看来附加密钥( ADK )并不安全,它允许第三方对PGP邮件进行解密。Senderek发现一些PGP软件不能区分恶意地添加的和经用户同意的第三方密钥。一些公司把第三方密钥放到雇员的邮件中,在职员离开或进行犯罪调查时使用。 Phil Zimmermann发明了PGP,他说修正这个错误迫在眉睫。PGP 6.5.x自由软件版本将在麻省理工学院的网站上发布,5.5.x版本的商业补丁将在www.nai.com和www.pgp.com上发布。 来自政府的压力导致了ADK的产生。如果用户同意,ADK就会加入到证书的安全区域。因为公钥证书到处都是,加进一个非法的ADK就很简单。Senderek发现5.5.x到6.5.3的PGP版本不能检查ADK是否被放在了证书的安全区域以内。一个未经授权的人如果能把ADK加到PGP证书内,他就能阅读任何使用修改过的公钥的电子邮件。
|
Copyright(C) 2000 SINA.com, Stone Rich Sight. All Rights Reserved
版权所有 四通利方 新浪网