Новости

Опубликовано в журнале "Компьютерра" №11 от 21 марта 2006 года

Проверяйте файлы, не отходя от кассы

Разработчики GPG, популярной криптопрограммы с открытыми исходниками, известной также под именами GnuPG и GNU Privacy Guard, извещают о паре выявленных в коде серьезных багов, которые снижают безопасность криптографии. Обнаруженные слабости теоретически позволяют злоумышленнику незаметно делать собственные вставки в контент, защищаемый цифровой подписью, либо подделывать подписи файлов. Потенциальной угрозе подвержены все версии программы, предшествовавшие 1.4.2.2.

GPG родилась как проект германских программистов, решивших создать бесплатный аналог ушедшей в коммерцию PGP. Программа быстро завоевала популярность и сегодня входит во многие дистрибутивы таких операционных систем, как FreeBSD, OpenBSD и многочисленные разновидности Linux. Оба нынешних бага в GPG обнаружил Тавис Орманди (Tavis Ormandy) из команды программистов-разработчиков, отвечающих за безопасность ОС Gentoo Linux.

Распространители дистрибутивов Linux и Unix часто используют цифровую подпись GPG для подтверждения подлинности выпускаемых обновлений, а также для верификации рассылки почтовых сообщений о выявленных проблемах с безопасностью. Обнаруженные Тависом Орманди баги позволяют встраивать в электронное письмо или подписываемые файлы дополнительные пакеты, так что проверяющая подписи программа эти вставки "как бы не замечает" и подтверждает подлинность полученной корреспонденции. Поэтому все системы, распространяющие дистрибутивы с опорой на GPG, нуждаются в обновлении программы до версии 1.4.2.2 или выше. Подробно ознакомиться с выявленными в GnuPG слабостями можно по этому адресу. - Б.К.

<<Страница 5  |  Страница 7>>