パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

PGPで攻撃」記事へのコメント

  • GnuPGは大丈夫? (スコア:2, 参考になる)

    by moonbear (4602) on 2002年09月09日 1時41分 (#162493)
    Foundstone [foundstone.com]という会社のadvisory [foundstone.com]を読んでみました.暗号化されるファイル名が長い場合に復号化した側でバッファーオーバーフローがおこり,実行が乗っ取られたりパスフレーズがばれてしまったりするようです(パスフレーズが入ったメモリ領域を上書きする前に落とすことが可能とのこと).

    さっき自分のマックにgpgをインストールしたばかりなんだけど,こっちは大丈夫だろうな…
    • by syun1rou (9886) on 2002年09月09日 12時42分 (#162638) 日記
      ちょっと考えてみたんですが、「暗号化する」ってレベルでは、
      ファイル名だろうがメール本文だろうが
      暗号化すべきコンテンツであることには変わりなくて、
      ファイル名だけ特別扱いしているとは思えません、

      今回の問題点はひょっとしたら、
      PGP/MIMEの実装の、「MIME」の部分の問題で
      「PGP」の部分は関係ないんじゃないかな、とか
      GnuPGのソースも読まずに言ってみたりして(^^;
      親コメント
      • by moonbear (4602) on 2002年09月09日 13時54分 (#162703)
        そのようです.MIMEの部分かどうかはわかりませんが,復号化する際にファイル名のチェックが正しく行われていないというレベルの話です.だからPGP以外にもこのてのバグは沢山ありそうです.
        親コメント

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

処理中...