sina.com.cn
新浪首页 | 免费邮件 | 用户注册 | 网站地图

科技时代

新浪首页 > 科技时代 > 软件 > ZDNet China > 正文



您还可以通过
新浪点点通软件
摩托罗拉6188手机
爱立信R320sc手机
西门子3518i手机
浏览新浪网新闻


电子邮件加密软件PGP被发现有安全缺陷

http://www.sina.com.cn 2000/08/29 16:12 ZDNet China

  在流行的电子邮件加密软件PGP的最新的版本中发现了一个安全缺陷。德国的密码研究人员Ralf Senderek星期四公布了这个漏洞,它使第三方可以非法的阅读经过加密的电子邮件。然而专家说这个漏洞更多的是理论上的,而不是现实的威胁,现在还没有这个漏洞曾被利用过的报告。

  PGP有商业的和免费的版本,它是最流行的加密软件之一,企业的用户和消费者都在使用它。问题的产生据说是由于Network Associates增加的一个"key escrow"的功能。它指的是创建并且存储附加的密钥,从而让收件人以外的人士——比如老板或政府——能解开一条消息或文件。星期四Network Associates在它的网站上承认了这一缺陷,并且答应提供一个补丁。另外,在卡耐基·梅隆大学的CERT协调中心就此事也提出了一个建议。

  PGP用户有一个公众的和一个私人的密钥。公钥用来加密电子邮件,公钥证书在用户的电子邮件、公共的服务器或网页上。而要解开加密过的电子邮件,就要知道私人的密钥。现在看来附加密钥( ADK )并不安全,它允许第三方对PGP邮件进行解密。Senderek发现一些PGP软件不能区分恶意地添加的和经用户同意的第三方密钥。一些公司把第三方密钥放到雇员的邮件中,在职员离开或进行犯罪调查时使用。

  Phil Zimmermann发明了PGP,他说修正这个错误迫在眉睫。PGP 6.5.x自由软件版本将在麻省理工学院的网站上发布,5.5.x版本的商业补丁将在www.nai.com和www.pgp.com上发布。

  来自政府的压力导致了ADK的产生。如果用户同意,ADK就会加入到证书的安全区域。因为公钥证书到处都是,加进一个非法的ADK就很简单。Senderek发现5.5.x到6.5.3的PGP版本不能检查ADK是否被放在了证书的安全区域以内。一个未经授权的人如果能把ADK加到PGP证书内,他就能阅读任何使用修改过的公钥的电子邮件。



 相关链接
NAI的子公司-PGP公司获奖 (2000/03/21 14:40)
 新浪推荐
读新浪新闻 得手机大奖
新浪奥运专题网站
趣味心理测试
星光无限俱乐部
俄罗斯核潜艇沉没北冰洋
马明宇登陆意甲
2000高考专栏
悉尼奥运神秘特使降临北京




新闻查询帮助及往日新闻


网站简介 | 网站导航 | 广告服务 | 中文阅读 | 联系方式 | 招聘信息 | 帮助信息

Copyright(C) 2000 SINA.com, Stone Rich Sight. All Rights Reserved

版权所有  四通利方 新浪网