パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

PGPで攻撃」記事へのコメント

  • 重箱の隅だけど、
    「暗号化された電子メール添付ファイルは信用されやすい」
    というZDNNでのコメントにちょっと。
    PGPでもS/MIMEでも暗号化は相手の公開鍵さえあれば誰でもできるから、
    「暗号化」されてるからって信用しちゃ駄目。
    • ある人が内部告発をしたいのだが見つかると身に危険が及ぶのでマスコミや捜査当局に暗号化してメールを送りたいといった場合に、受け取った側が複合化をためらうことになるんではないか?

      ようするに誰か
      --
      (´д`;)
      • マスコミや捜査当局などはそもそも「誰から来るかわからないメールを受け取」る立場です。(PGPの問題とは無関係に)信用できない添付ファイルが送られてこないとも限りません。したがって、マスコミ・捜査当局側で安全を確保する(『権限が厳しく制限された環境でメールを開く』、『仮想マシンを使う』など)のが望ましいでしょう。

        • そうですね.今回の話は結局,(暗号化された)アーカイブをほどこうとしたら,中のファイルの名前が長いためにアーカイブをほどくプログラム(PGP)がバッファオーバーフローしたということですよね.同様なバグとそれに対する攻撃ということであれば,tar, zip, lha, rpmなどを対象にしたものもありえるわけです.

          誰だか知らない人からもらったアーカイブファイルの類を安全に展開するには,アーカイバが本当に安全であることがわかっている(証明されている)か,サンドボックスで展開するということをしないといけないようです.筑波大のSoftwarePot [tsukuba.ac.jp]は後者のための環境(もっと一般的にプログラムを安全に動かす環境)を提供するもののようです.
          親コメント

物事のやり方は一つではない -- Perlな人

処理中...