/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Bagdør i PGP!
Fra : Dreamslay


Dato : 06-03-01 23:43

Efter at have skimmet lidt sikkerheds relateret materiale på nettet igennem,
faldt jeg over en artikel, der hurtigt nævnte at PGP havde en bagdør...
Der stod ikke noget udspecificeret!
Er der nogen der kan af-/bekræfte det jeg læste, eller henvise til en side?

Har før læst indlæg om, at PGP måtte være 'the real mccoy', da kildekoden
følger med. Men med et så komplekst prg, er det vel muligt at gemme et par
ting eller to?

/Dreamslay



 
 
Henning Vedsegaard (07-03-2001)
Kommentar
Fra : Henning Vedsegaard


Dato : 07-03-01 11:50

On Tue, 6 Mar 2001 23:43:02 +0100, "Dreamslay"
<amlet36_NOSPAM_@hotmail.com> wrote:

>Efter at have skimmet lidt sikkerheds relateret materiale på nettet igennem,
>faldt jeg over en artikel, der hurtigt nævnte at PGP havde en bagdør...
>Der stod ikke noget udspecificeret!
>Er der nogen der kan af-/bekræfte det jeg læste, eller henvise til en side?

Har læst det samme i en artikel på nettet om nagdør i PGP og mener at
huske at man lagde frem at det var i versionren til MS DOS og MS
Windows , alle versioner , at der er en bagdør i PGP . Så her er det
altså lidt mere konkretieseret som at i versionerne af PGP der kører
i Micor Soft D.O,S. sysmester ER der en bagdør i PGP.

Jeg mener også at huske der var en strre debat på PGP´s
interenationele site , husker ikke adressen men stedet er nemt at
finde. Håber du kome en smule nærmere svaret du søger med det her, som
imdrømmey ikke tilføjer så forfærdeligt meget af det du vil vide.Men
dog lidt

Med venlig Hilsen
Henning Vedsegaard

Kenneth Hansen (07-03-2001)
Kommentar
Fra : Kenneth Hansen


Dato : 07-03-01 16:39

En bagdør i PGP er aldrig blevet påvist. Fuld kildekode er
blevet frigivet fra følgende versioner af PGP:
2.6.2, 5.0, 5.5.3, 6.0.2, 6.5.1 og 6.5.8.

Da alverdens eksperter i kryptologi gennemlæser denne
kode, ville en eventuel bagdør uden tvivl blive fundet og
offentliggjort med masser af bulder og brag.

Hvis du stadig er paranoid, vil du måske gerne vide at:
- Version 7.0.3 er den sidste udgivelse inden Phil Zimmermann
(oprindelig programmør af PGP) forlod NAI (Network Associates
der nu står for distribution og salg af PGP).

- Version 6.5.8 er den sidste udgivelse hvor den komplette
kildekode er frigivet..

- Version 5.5.3 er den sidste udgivelse inden PGP blev købt
af NAI.

Mvh.

--
Kenneth Hansen


Jesper Stocholm (07-03-2001)
Kommentar
Fra : Jesper Stocholm


Dato : 07-03-01 16:55

Kenneth Hansen <kenneth.hansen@probemail.com> wrote in
<3AA65625.8DC87F6F@probemail.com>:

>En bagdør i PGP er aldrig blevet påvist. Fuld kildekode er
>blevet frigivet fra følgende versioner af PGP:
>2.6.2, 5.0, 5.5.3, 6.0.2, 6.5.1 og 6.5.8.
>
>Da alverdens eksperter i kryptologi gennemlæser denne
>kode, ville en eventuel bagdør uden tvivl blive fundet og
>offentliggjort med masser af bulder og brag.
>
>Hvis du stadig er paranoid, vil du måske gerne vide at:
>- Version 7.0.3 er den sidste udgivelse inden Phil Zimmermann
> (oprindelig programmør af PGP) forlod NAI (Network Associates
> der nu står for distribution og salg af PGP).
>

Phil har selv fastslået, at version 7.0.3 er fri for bagdøre - se evt link i
min signatur. Umiddelbart har jeg ikke grund til at tro, at han taler
usandt.

Jesper


--
Philip Zimmermann quits NAI. See his post in sci.crypt - msg-ID:
<news:96r393$n35$1@kermit.esat.net>

- Jesper Stocholm

Niels Teglsbo (07-03-2001)
Kommentar
Fra : Niels Teglsbo


Dato : 07-03-01 17:53

Kenneth Hansen <kenneth.hansen@probemail.com> wrote:

> Da alverdens eksperter i kryptologi gennemlæser denne
> kode, ville en eventuel bagdør uden tvivl blive fundet og
> offentliggjort med masser af bulder og brag.

Sikker på, at de ville finde enhver fejl inden næste version?

Men under alle omstændigheder øger det sandsynligheden for, at fejl
bliver fundet, i forhold til hvis koden ikke var tilgængelig,
betydeligt.

--
Niels, The Offspring Mailinglist www.image.dk/~teglsbo
PGP ID: 0x79701FB3 FP: 14CE E6BA 29CC 4ECE D7A3 30D3 FB74 A1CB 7970 1FB3

Dreamslay (08-03-2001)
Kommentar
Fra : Dreamslay


Dato : 08-03-01 21:22

Dreamslay <amlet36_NOSPAM_@hotmail.com> wrote in message
news:983p23$413$1@news.inet.tele.dk...
> Efter at have skimmet lidt sikkerheds relateret materiale på nettet
igennem,
> faldt jeg over en artikel, der hurtigt nævnte at PGP havde en bagdør...
> Der stod ikke noget udspecificeret!
> Er der nogen der kan af-/bekræfte det jeg læste, eller henvise til en
side?
>
> Har før læst indlæg om, at PGP måtte være 'the real mccoy', da kildekoden
> følger med. Men med et så komplekst prg, er det vel muligt at gemme et par
> ting eller to?
>
> /Dreamslay

Jeg takker for alle jeres svar!
Lige en lille opfølgning:
Så vidt jeg har set på steder rundt omkring, er der 2 forskellige versioner
(måske flere?) af PGP. Den fra NAI (version 7) og en der er blevet videre
udviklet af ... andre (version 2.6...).
Hvilken grund er der til det?

På forhånd tak.

/Dreamslay




Kuruderu (09-03-2001)
Kommentar
Fra : Kuruderu


Dato : 09-03-01 10:43

Der er 2 udgaver af PGP.

Der er den udgave NAI udgiver som er en US only version dvs. den må kun
bruges af Amerikanske statsborgere i USA.
den anden udgave hedder PGPi og er lavet af en lille gruppe folk der henter
source koden på papir og tager den med til europa hvorefter de indtaster
source koden selv og kompilere den og udgiver den som PGPi, dette gør de
fordi USA har meget strenge sanktioner om hvor god en kryptereings kode man
må eksportere fra USA, mn den regel dækker kun det færdige produkt... og
elektronisk lagret data, så hvis de bare har sourcen på papir må de godt
eksportere den...

Leo "kuruderu" Knøsgaard
icq# 78152492
"Dreamslay" <amlet36_NOSPAM_@hotmail.com> wrote in message
news:988phq$irt$1@news.inet.tele.dk...
> Dreamslay <amlet36_NOSPAM_@hotmail.com> wrote in message
> news:983p23$413$1@news.inet.tele.dk...
> > Efter at have skimmet lidt sikkerheds relateret materiale på nettet
> igennem,
> > faldt jeg over en artikel, der hurtigt nævnte at PGP havde en bagdør...
> > Der stod ikke noget udspecificeret!
> > Er der nogen der kan af-/bekræfte det jeg læste, eller henvise til en
> side?
> >
> > Har før læst indlæg om, at PGP måtte være 'the real mccoy', da
kildekoden
> > følger med. Men med et så komplekst prg, er det vel muligt at gemme et
par
> > ting eller to?
> >
> > /Dreamslay
>
> Jeg takker for alle jeres svar!
> Lige en lille opfølgning:
> Så vidt jeg har set på steder rundt omkring, er der 2 forskellige
versioner
> (måske flere?) af PGP. Den fra NAI (version 7) og en der er blevet videre
> udviklet af ... andre (version 2.6...).
> Hvilken grund er der til det?
>
> På forhånd tak.
>
> /Dreamslay
>
>
>



Jesper Stocholm (09-03-2001)
Kommentar
Fra : Jesper Stocholm


Dato : 09-03-01 15:46

"Kuruderu" <kuruderu@dak.kollegie6400.dk> wrote in
<3aa8a59f$1@server.kollegie6400.dk>:

>Der er 2 udgaver af PGP.
>

ja

>Der er den udgave NAI udgiver som er en US only version dvs. den må kun
>bruges af Amerikanske statsborgere i USA.

nej

>den anden udgave hedder PGPi og er lavet af en lille gruppe folk der
>henter source koden på papir og tager den med til europa hvorefter de
>indtaster source koden selv og kompilere den og udgiver den som PGPi,
>dette gør de fordi USA har meget strenge sanktioner om hvor god en
>kryptereings kode man må eksportere fra USA, mn den regel dækker kun det
>færdige produkt... og elektronisk lagret data, så hvis de bare har
>sourcen på papir må de godt eksportere den...
>

din information er ikke helt up-to-date. I efteråret kom der nye eksport-
regler i USA, der bla. bevirkede, at man som udbyder af et produkt med stærk
kryptering skal sende en teknisk beskrivelse til USAs regering (læs: NSA),
der har den til en slags "one-time-review" [1]. Derefter kan man lægge
software ud til download (til hele verden) - uanset krypteringsstyrke. Denne
ret har man, hvis produktet er gratis og til umiddelbar download. Hvis det
er et specielt-designet kommercielt produkt, så er det ikke tilladt, og
produktet skal til review - hver gang det sælges.

Det er korrekt, at de i "gamle dage" sendte en bog (til Norge), hvor de så
scannede den ind, smed den efter noget OCR-sw og så compilede de koden til
et færdigt produkt. Tidligere var der også noget, der hed en "international
version", men dette skyldtes, at de ikke kunne lave en freeware-version af
den kommercialle PGP til brug i USA, da den indeholdt support for RSA, der
på det tidspunkt var beskyttet af patenter.

Freeware-versionen er i øvrigt tilgængelig fra bla. pgpi.com ganske få dage
efter den er tilgængelig fra NAIs servere, og selv med vore dages teknologi
er jeg ikke sikker på, at det kan lade sig gøre at OCR-konvertere flere
tusinde sider kode så hurtigt.


[1] Efter signende blot en formalitet - de skal vist ikke engang se koden
til programmet.

--
Læs mit midtvejsprojekt om digitale signaturer på Smart Cards på
http://stocholm.dk/pmp

- Jesper Stocholm

Jesper Stocholm (09-03-2001)
Kommentar
Fra : Jesper Stocholm


Dato : 09-03-01 15:51

"Kuruderu" <kuruderu@dak.kollegie6400.dk> wrote in
<3aa8a59f$1@server.kollegie6400.dk>:

>Der er 2 udgaver af PGP.
>

ja

>Der er den udgave NAI udgiver som er en US only version dvs. den må kun
>bruges af Amerikanske statsborgere i USA.

nej

>den anden udgave hedder PGPi og er lavet af en lille gruppe folk der
>henter source koden på papir og tager den med til europa hvorefter de
>indtaster source koden selv og kompilere den og udgiver den som PGPi,
>dette gør de fordi USA har meget strenge sanktioner om hvor god en
>kryptereings kode man må eksportere fra USA, mn den regel dækker kun det
>færdige produkt... og elektronisk lagret data, så hvis de bare har
>sourcen på papir må de godt eksportere den...
>
din information er ikke helt up-to-date. I efteråret kom der nye eksport-
regler i USA, der bla. bevirkede, at man som udbyder af et produkt med stærk
kryptering skal sende en teknisk beskrivelse til USAs regering (læs: NSA),
der har den til en slags "one-time-review" [1]. Derefter kan man lægge
software ud til download (til hele verden) - uanset krypteringsstyrke. Denne
ret har man, hvis produktet er gratis og til umiddelbar download. Hvis det
er et specielt-designet kommercielt produkt, så er det ikke tilladt, og
produktet skal til review - hver gang det sælges.

Microsoft og Netscape bruger i øvrigt deres ret i dette tilfælde, når de gør
deres patches til 128-bit kryptering i deres browsere frit tilgængelige fra
deres website.

Det er korrekt, at de i "gamle dage" sendte en bog (til Norge), hvor de så
scannede den ind, smed den efter noget OCR-sw og så compilede de koden til
et færdigt produkt. Tidligere var der også noget, der hed en "international
version", men dette skyldtes, at de ikke kunne lave en freeware-version af
den kommercialle PGP til brug i USA, da den indeholdt support for RSA, der
på det tidspunkt var beskyttet af patenter.

Freeware-versionen er i øvrigt tilgængelig fra bla. pgpi.com ganske få dage
efter den er tilgængelig fra NAIs servere, og selv med vore dages teknologi
er jeg ikke sikker på, at det kan lade sig gøre at OCR-konvertere flere
tusinde sider kode så hurtigt.




[1] Efter signende blot en formalitet - de skal vist ikke engang se koden
til programmet. Se også http://www.pgp.com/aboutus/press/pr_template.asp?
PR=/PressMedia/01202000.asp&Sel=664

--
Læs mit midtvejsprojekt om digitale signaturer på Smart Cards på
http://stocholm.dk/pmp

- Jesper Stocholm

Søg
Reklame
Statistik
Spørgsmål : 177559
Tips : 31968
Nyheder : 719565
Indlæg : 6408934
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste