Botschaften, die mit dem Pretty Good Privacy (PGP)-Algorithmus verschlüsselt wurden, können mit einem Trick eingesehen werden. Das teilte Bruce Schneier, Gründer und Cheftechnologe von Counterpane Internet Security mit. Er hat den Fehler zusammen mit Jonathan Katz, Professor an der University of Maryland sowie einigen Studenten entdeckt.
Ein Erfolg versprechender Angriff müsste sich gegen einen Bug in PGP, genauer in der Open Source Verschlüsselungssoftware GNU Privacy Guard, richten. Dieser findet sich in Versionen aus dem vergangenen Jahr. „Schneier und Katz haben eine Methode vorgestellt, die eine altbekannte Schwäche ausnutzt“, kommentierte Jon Callas, Mitglied der Internet Engineering Task Force (IETF). „Im Wesentlichen handelt es sich um einen ‚Con Attack‘: Eine Person muss eine andere davon überzeugen, etwas Bestimmtes zu tun.“
Details der Angriffsmethode sollen auf der Information Security Conference in Sao Paulo, Brasilien, mitgeteilt werden. „Wenn Sie die Methode einsetzen, können sie eine und nur eine Nachricht lesen – Sie erhalten keinen geheimen Schlüssel“, stellte Schneier klar. PGP ist ein Programm, das mit öffentlichen Schlüsseln arbeitet. Die eingesetzten Algorithmen gehören zu den sichersten, die öffentlich bekannt sind.
Die vor allem zur Verschlüsselung von E-Mails eingesetzte Software wurde 1991 von Phil Zimmermann vorgestellt. Aufgrund der hohen Verschlüsselung wurde das Programm von der US-Regierung lange Zeit als strategische Waffe angesehen und durfte nicht exportiert werden. Erst 1997 gelang es, den Software-Quellcode ausgedruckt und somit legal als Buch nach Kanada zu exportieren. Dort wurde der Text wieder abgetippt und später im Internet der ganzen Welt verfügbar gemacht. Inzwischen hat die US-Regierung die Export-Beschränkungen nach und nach gelockert und machte jetzt erstmals auch den Weg frei für die Verbreitung des aktuellen Quellcodes.
Im Download-Bereich von ZDNet findet sich das klassische Verschlüsselungsprogramm in der Freeware-Version 7.0.3 für Win95, 98 und NT und Mac OS.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…