PGP boos over Russische kraak-advertentie

01-05-2009,00:35 doorRedactie

Een advertentie van het Russische IT-bedrijf ElcomSoft heeft tijdens de InfoSecurity Europese beurs voor grote woede bij versleutelaar PGP gezorgd, waarna de organisatie de gewraakte poster verwijderde. Op de stand van de wachtwoordkrakers stond een poster met de tekst "the only way to break into PGP". Tegenover ElcomSoft bevond zich de stand van PGP, die hier niet van gecharmeerd waren en de organisatie inschakelden. Die kwam eigenhandig de poster verwijderen, zoals ElcomSoft op het eigen weblog vastlegde. Volgens Reed Exhibitions was de poster feitelijk onjuist en was het Russische IT-bedrijf daarmee in overtreding van de regels.

Volgens PGP verkondigde de poster leugens over PGP. "Ze breken PGP niet, ze kraken wachtwoorden. Dat is heel iets anders. Ze zijn niet de enige mensen die dat doen. Er zijn voldoende wachtwoordkrakers, zowel commercieel als opensource", aldus Jon Callas, CTO van PGP. ElcomSoft voelt zich benadeeld door de actie van PGP en de organisatie, waar men toch al niet over te spreken was. "Bijna alles ging goed, behalve het feit dat de organisatie ons naambord niet had geregeld, de elektriciteit ontbrak en we minder ruimte hadden dan we hadden besteld en betaald. Maar het meeste was later verholpen", aldus Vladimir Katalov. "Waar is PGP bang voor? Ik weet het niet. Zeggen we dat PGP niet veilig is? Nee. Maar we zeggen wel dat PGP wachtwoorden te kraken zijn, als ze niet goed gekozen worden. Maar als PGP dat niet aan hun klanten kan uitleggen, is dat niet onze fout."

Auteur Nugache worm ontsnapt aan gevangenisstraf

PDF over varkensgriep bevat Trojaans paard

Reacties

01-05-2009,

09:38 door

spatieman

+0 Rating:

Quote deze reactie | Reactie niet OK

en terecht...
pgp was vroeger leuk.
Maar nu mag je zwaar betalen, ik doe zelf niet meer de moeite om te kijken of ze nog gratis iets aanbieden.

09:44 door

Anoniem

pgp heeft groot gelijk om dat niet te accepteren. En spatieman, je hebt tegenwoordig GPG (voor PGP) en Truecrypt (voor pgpdisk), waar wil je sowieso PGP nog voor gebruiken?

10:38 door

Door spatieman: en terecht...
pgp was vroeger leuk.
Maar nu mag je zwaar betalen, ik doe zelf niet meer de moeite om te kijken of ze nog gratis iets aanbieden.

gnupg voor basis dingen

10:40 door

Door spatieman: ik doe zelf niet meer de moeite om te kijken of ze nog gratis iets aanbieden.

Hoeft ook niet, doe ik wel even voor je.....kijk hier......alles op een rijtje.....mooi toch.....werkt prima hoor PGP, geen problemen mee. Wel even een goege passphrase kiezen.

http://www.pgpi.org/products/pgp/versions/freeware/

11:05 door

Ik gebruik OpenPGP. Maar je kunt ook kijken naar allerlei GPG implementaties. Inclusief interfaces zoals Enigmail voor Thunderbird en FireGPG voor Firefox.

Peter

11:12 door

PGP vertoont duidelijk dezelfde kinderachtige trekjes en als veel andere bedrijven met een grote bekendheid. Gek genoeg gaan veel mensen er van uit dat grote en bekende bedrijven eerder aan (fatsoens)regels zullen houden dan kleine en onbekende bedrijven. De redenering hierachter blijkt vaak te zijn dat men denkt dat een groot bedrijf al lang out-of-business zou zijn als ze zich niet aan de regels/wet zouden houden. Het is in dat licht wel ironisch dat de praktijk precies andersom werkt. Grote bekende bedrijven maken te pas en te onpas hun omvang en bekendheid (en een leger aan juristen) te gelde om een oneerlijk voordeel te behalen over kleinere concurenten. Hierbij wordt ook met grote regelmaat te wet overtreden, maar zolang niemand een juridisch tegenoffencief opend blijft vervolging uit.

Hoewel je natuurlijk van mening kunt zijn dat het (brute force) kragen van wachtwoorden en dubieuze zaak is, die in aantal landen zelfs als misdrijf wordt gezien, lijkt me de claim van PGP dat de poster feitelijk onjuist is volstrekt onjuist. Voor een ieder die de Engelse taal enigszins beheers, de zin "The only way to break into PGP" zegt niets over het kraken van het PGP algoritme. "To break in" betekend inbreken en zegt niets over de manier waarop dit gebeurt. Net zoals een inbreker in plaats van een koevoet een loper of nagemaakte sleutel kan gebruiken om zichzelf onrechtmatig toegang te verschaffen, kun je met een juist geraden wachtwoord onrechtmatig toegang tot een PGP bestand krijgen.

Als ElcomSoft verstandig is sturen ze een advocaat op PGP en de organisatie van InfoSecurity af en eisen ze een schadevergoeding. Ik denk dat ze een goede zaak hebben.

Ben zelf al een paar keer op de InfoSecurity beurzen geweest en eerlijk gezegd heb ik nog niet vaak zo'n wanstaltige hoeveelheid marketing bullshit rondom gebakken lucht bij elkaar gezien. Het beveiligen van gegevens is iets dat ik uitermate serieus neem (het is mijn werk), maar op die beurzen lijken ze er alleen op uit om angst te zaaien en die vervolgens voor zo veel mogelijk geld uit te buiten. De hoeveelheid waardeloze meuk op die beurs is ook schrikbarend.

Tot slot, gelukkig bestaat er naar PGP gelukkig ook GPG: gratis, even veilig en je hoeft geen zaken te doen met een bedrijf dat vanaf het begin reeds controversieel was.

14:18 door

bobo

'waarna de organisatie de gewraakte poster verwijderd.'
'voelt zich benadeelt'

..*au*

23:41 door

...waarna de organisatie de gewraakte poster verwijderd.
ElcomSoft voelt zich benadeelt...
...ons naambord niet hard geregeld...

Artikeltje niet eerst even nagelezen op spel- en taalfouten?

02-05-2009,

12:12 door

Je kunt een password wel bruteforcen, maar je zult dan eerst nog aan de private key moeten komen.
Hoe zwak je wachtwoorden ook mogen zijn, als men niet je private key kunnen bemachtigen, dan zullen ze ook niet in staat zijn om "to break into PGP".
Daarmee is de poster juist wel onjuist.

De enige manier om met PGP (of GnuPG of wat dan ook) versleutelde berichten te kraken is *of* de private key stelen, en de passphrase daarvan te achterhalen; *of* het algoritme kraken.

Een password cracker is niet bedoeld om encryptie algoritmen te kraken, maar wel voor de passphrase op je private key. Maar je zult dan nog altijd de private key moeten achterhalen.

03-05-2009,

16:19 door

Door bobo: 'waarna de organisatie de gewraakte poster verwijderd.'
'voelt zich benadeelt'

..*au*

bevondt

04-05-2009,

09:40 door

http://blog.crackpassword.com/

hoe serieus neem je beveiligers met zo'n url ...

12:57 door

In een ver verleden kwam je ook nog wel een iets zinnig tegen op geocities/tripod/angelfire webpages tegen. Maar weet je wel wie Elcomsoft is?

Elcomstoft is een van de meest vooraanstaande software ontwikkelaar op password gebied. Volgens mij waren ze de eerste die met GPU (cuda) kwamen, en hebben ze een kompleet verzameling crackers.

05-05-2009,

09:28 door

Weet je, ik vind het juist een geweldige reklame voor PGP, ik snap niet dat die club daar zo boos over is.

Je hebt klaarblijkelijk zo'n goed versleutelingsprogramma dat het enige wat overblijft is het raden van je passphrase.

Dat vind ik nog eens een kwalificatie waar je trots op kunt zijn.

E-mail:
Wachtwoord:
Blijf 30 dagen ingelogd
Wachtwoord kwijt? Account aanmaken

Login