Nederlander vindt gat in PGP
Gerard Tel schrijft: "Eerder hebben jullie een aankondiging kunnen lezen van de afstudeer-
voordracht van Sieuwert van Otterloo. Sieuwert heeft tijdens zijn
afstudeeronderzoek een exploiteerbare bug gevonden in het populaire
email-beveiligingsprogramma PGP (Pretty Good Privacy). Dat de bug
bestaat is erkend door Networks Associates, de fabrikant van PGP,
die op de dag van de voordracht met een bug fix uitkomt.
Sieuwert kan daarom op 4 september onthullen hoe hij deze bug
gevonden heeft en hoe hij werkt. Ook over enkele eerder gevonden
bugs in PGP wordt verteld.
Het veiligheidslek heeft te maken met het zogenaamde "Network
of Trust" dat in PGP moet verzekeren dat een gebruiker beschikt
over de juiste publieke sleutels van andere gebruikers. Het lek
staat een aanvaller toe zelf een sleutel te maken en deze in een
keyring te laten komen onder een andere naam.
Sieuwert's voordracht is interessant voor belangstellenden in
computer beveiliging, cryptografie en software engineering.
"
Nog even de gegevens:
Tijd Dinsdag 4 september om 15.00
Plaats CentrumGebouw Noord, C009
Universiteit van Utrecht
Spreker Sieuwert van Otterloo
Titel A security analysis of Pretty Good Privacy
(vrij toegankelijk)
Stel je maakt met PGP een publieke en een privesleutel aan met bijv. het e-mail adres [email]security-announcements@microsoft.com[/email].
Vervolgens zet je de publieke sleutel op de keyserver (http://pgpkeys.mit.edu/add_key.html).
Met een anonymous mailer publiceer je een of ander bericht met afzender [email]security-announcements@microsoft.com[/email] en signeert het met de prive sleutel.
Zodra de ontvanger het bericht ontvangt, vraagt hij de publieke sleutel op en controleert of de handtekening klopt met het e-mail adres. Dit klopt, dus wordt de afzender vertrouwd.
Er zit echter nergens een controle mechanisme in wie er achter het e-mail adres zit, wel dat het bericht getekend is door het betreffende e-mail adres.
Maak ik hier een redeneerfout?
Gerard Tel schrijft: "Eerder hebben jullie een aankondiging kunnen lezen van de afstudeer-
voordracht van Sieuwert van Otterloo. Sieuwert heeft tijdens zijn
afstudeeronderzoek een exploiteerbare bug gevonden in het populaire
email-beveiligingsprogramma PGP (Pretty Good Privacy). Dat de bug
bestaat is erkend door Networks Associates, de fabrikant van PGP,
die op de dag van de voordracht met een bug fix uitkomt.
Sieuwert kan daarom op 4 september onthullen hoe hij deze bug
gevonden heeft en hoe hij werkt. Ook over enkele eerder gevonden
bugs in PGP wordt verteld.
Het veiligheidslek heeft te maken met het zogenaamde "Network
of Trust" dat in PGP moet verzekeren dat een gebruiker beschikt
over de juiste publieke sleutels van andere gebruikers. Het lek
staat een aanvaller toe zelf een sleutel te maken en deze in een
keyring te laten komen onder een andere naam.
Sieuwert's voordracht is interessant voor belangstellenden in
computer beveiliging, cryptografie en software engineering.
"
Nog even de gegevens:
Tijd Dinsdag 4 september om 15.00
Plaats CentrumGebouw Noord, C009
Spreker Sieuwert van Otterloo
Titel A security analysis of Pretty Good Privacy
(vrij toegankelijk)
Volgens mij bestaat er een heel ander soort van bug in het principe van de publieke sleutels.
Stel je maakt met PGP een publieke en een privesleutel aan met bijv. het e-mail adres [email]security-announcements@microsoft.com[/email].
Vervolgens zet je de publieke sleutel op de keyserver (http://pgpkeys.mit.edu/add_key.html).
Met een anonymous mailer publiceer je een of ander bericht met afzender [email]security-announcements@microsoft.com[/email] en signeert het met de prive sleutel.
Zodra de ontvanger het bericht ontvangt, vraagt hij de publieke sleutel op en controleert of de handtekening klopt met het e-mail adres. Dit klopt, dus wordt de afzender vertrouwd.
Er zit echter nergens een controle mechanisme in wie er achter het e-mail adres zit, wel dat het bericht getekend is door het betreffende e-mail adres.
Maak ik hier een redeneerfout?
Nee je maakt geen redeneerfout. Dit is inherent aan PGP, waarin mensen hun eigen sleutelparen kunnen certificeren. Dit in tegenstelling tot hierarchische PKI omgevingen, waarin een "autoriteit" verantwoordelijk gesteld kan worden voor de uitgifte van een certificaat. Die autoriteit moet dan ook daadwerkelijk controleren of het sleutelpaar bij (in dit geval) het e-mail adres past. Ik geloof dat PGP tegenwoordig ook hierarchisch kan werken, maar dat weet ik niet zeker. Sinds ik geen OS/2 meer gebruik, gebruik ik ook geen PGP meer.
Groetjes,
Sjonnie
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.