139918

Bug in PGP 5.0i

25.05.2000 | 16:29 Uhr |

In PGP 5.0i für Unix ist ein Bug entdeckt worden. Unter bestimmten Umständen werden von PGP erzeugte Schlüssel leichter vorhersehbar. Ursache ist ein Problem mit nicht wirklich zufälligen Zufallsreihen.

In PGP 5.0i für Unix ist ein Bug entdeckt worden. Unter bestimmten Umständen werden von PGP erzeugte Schlüssel leichter vorhersehbar. Alle anderen Versionen und alle Nicht-Unix-Versionen sind weiterhin sicher, da sie die Schlüssel auf eine andere Art und Weise generieren.

Der Fehler betrifft Unix-Systeme wie Linux und einige BSD-Dialekte mit einem /dev/random Device. Dieses liefert möglicherweise keine echten Zufallsdaten. PGP braucht zur Generierung der Schlüssel verlässliche Zufallsreihen, die es unter anderem von /dev/random erhält. Der Bug im Code verursacht nun, dass die Daten, die von /dev/random kommen, als ein konstanter Strom von Einsen gelesen werden. PGP holt sich die Zufallsreihen zwar auch aus anderen Quellen, legt aber ein Hauptgewicht auf dev/random. Damit sind die daraus generierten Schlüssel nicht mehr völlig zufällig, sondern werden leichter vorhersehbar.

Von dem Bug ist ausschließlich die PGP-Version 5.0i für Unix, also eine ältere Version, betroffen. Auch tritt er nur auf, wenn der Schlüssel auf eine ganz spezifische Weise erstellt wird. Der Bug wurde bei einer Kontrolle des Quellcodes entdeckt - ein Beweis dafür, dass sich durch das Open-Source-Konzept auch selten auftretende Fehler oder Hintertüren schneller finden lassen.

Der Bug lässt sich durch das Einfügen einer Programmzeile beheben. Die genaue Beschreibung der Vorgehensweise finden Sie in englischer Sprache im PC-WELT-Forum. (PC-WELT, 25.05.2000, pk)

http://www.pcwelt.de/pgp

0 Kommentare zu diesem Artikel
139918