1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › RSA-Signaturen: Acht Jahre alte…

Betrifft das auch OpenPGP?

  1. Thema

Neues Thema Ansicht wechseln


  1. Betrifft das auch OpenPGP?

    Autor: daniel.ranft 25.09.14 - 13:08

    Mal blöd an alle Krypto-Experten hier gefragt:
    Wäre es möglich, dass der Angriff auch auf RSA-Signaturen/Verschlüsselungen nach dem OpenPGP-Standard gefahren werden kann? Mir ist aus dem Artikel leider nicht ersichtlich, ob diese Stelle, an der die Sicherheitslücke sitzt, auch von z.B. GnuPG benutzt wird, oder ob das ne reine TLS-Geschichte ist.

  2. Re: Betrifft das auch OpenPGP?

    Autor: hannob (golem.de) 25.09.14 - 13:21

    Prinzipiell ist das ein Fehler der offenbar vielen Leuten passiert (die originale Attacke betraf NSS und OpenSSL gleichermaßen). Auch GnuPG nutzt das problematische PKCS #1 1.5-Padding. Allerdings hat bisher scheinbar noch niemand was im GnuPG-Code gefunden.

    Kann gut sein dass wir in den nächsten Tagen noch von weiteren betroffenen Produkten hören. Das betroffene RSA-Verfahren ist extrem weit verbreitet. Fast alles, was Krypto benutzt, nutzt das. Es lohnt sich sicher, überall nach möglichen Varianten des Problems zu suchen.

    Aber wie im Artikel bereits erwähnt: Es handelt sich um Implementierungsfehler, nicht um Fehler im RSA-Verfahren. D.h. wenn die Programmierer alles richtig gemacht haben und den Standard korrekt umsetzen sollte kein Problem auftauchen.

  3. Re: Betrifft das auch OpenPGP?

    Autor: jokey2k 25.09.14 - 14:23

    GnuPG ist hier nicht betroffen, da PKCS #1 im Algorithmus nicht zur Anwendung kommt.

  4. Re: Betrifft das auch OpenPGP?

    Autor: hannob (golem.de) 25.09.14 - 14:50

    jokey2k schrieb:
    --------------------------------------------------------------------------------
    > GnuPG ist hier nicht betroffen, da PKCS #1 im Algorithmus nicht zur
    > Anwendung kommt.

    Das ist falsch:
    http://tools.ietf.org/html/rfc4880#section-13.1

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Obermeyer Planen + Beraten GmbH, München
  2. Bundeskriminalamt, Wiesbaden
  3. W3L AG, Dortmund
  4. FLYERALARM Digital GmbH, Würzburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 13,99€
  2. (-77%) 6,99€
  3. (u. a. Die Sims 4 für 9,99€, Inselleben für 19,99€, An die Uni! für 19,99€, Vampire für...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Alphakanal: Gimp verrät Geheimnisse in Bildern
Alphakanal
Gimp verrät Geheimnisse in Bildern

Wer in Gimp in einem Bild mit Transparenz Bildbereiche löscht, der macht sie nur durchsichtig. Dieses wenig intuitive Verhalten kann dazu führen, dass Nutzer ungewollt Geheimnisse preisgeben.


    Login-Dienste: Wer von der Klarnamenpflicht profitieren könnte
    Login-Dienste
    Wer von der Klarnamenpflicht profitieren könnte

    Immer wieder bringen Politiker einen Klarnamenzwang oder eine Identifizierungspflicht für Nutzer im Internet ins Spiel. Doch welche Anbieter könnten von dieser Pflicht am ehesten einen Vorteil erzielen?
    Eine Analyse von Friedhelm Greis

    1. Europäische Netzpolitik Die Rückkehr des Axel Voss
    2. Mitgliederentscheid Netzpolitikerin Esken wird SPD-Chefin
    3. Nach schwerer Krankheit FDP-Netzpolitiker Jimmy Schulz gestorben

    Leistungsschutzrecht: Drei Wörter sollen ...
    Leistungsschutzrecht
    Drei Wörter sollen ...

    Der Vorschlag der Bundesregierung für das neue Leistungsschutzrecht stößt auf Widerstand bei den Verlegerverbänden. Überschriften mit mehr als drei Wörtern und Vorschaubilder sollen lizenzpfichtig sein. Dabei wenden die Verlage einen sehr auffälligen Argumentationstrick an.
    Eine Analyse von Friedhelm Greis

    1. Leistungsschutzrecht Memes sollen nur noch 128 mal 128 Pixel groß sein
    2. Leistungsschutzrecht Französische Verlage reichen Beschwerde gegen Google ein
    3. Leistungsschutzrecht Französische Medien beschweren sich über Google

    1. Everspin ST-MRAM: 256-MBit-Chips für Arcade-Automaten und Smart-Meter
      Everspin ST-MRAM
      256-MBit-Chips für Arcade-Automaten und Smart-Meter

      Auf die 1-GBit-Versionen für Datacenter folgen kleinere Modelle für Industrie und Internet der Dinge: Der magnetische Speicher von Everspin hat eine sehr lange Haltbarkeit und benötigt nicht dauerhaft Strom.

    2. Wikileaks: Worum es im Fall Assange nun geht
      Wikileaks
      Worum es im Fall Assange nun geht

      Geheimnisverrat, Leben in der Isolation, Anklage in den USA, Foltervorwürfe: Die Auslieferungsanhörung von Wikileaks-Gründer Julian Assange beginnt. Im Artikel beantworten wir die wichtigsten Fragen.

    3. Zahlungsabwickler: Protest gegen Massenentlassungen bei Paypal Deutschland
      Zahlungsabwickler
      Protest gegen Massenentlassungen bei Paypal Deutschland

      Die Beschäftigten von Paypal Deutschland wollen den Abbau von über 300 Arbeitsplätzen nicht hinnehmen. Die Jobs sollen an andere Standorte oder an externe Partner gehen.


    1. 22:10

    2. 18:08

    3. 18:01

    4. 17:07

    5. 16:18

    6. 15:59

    7. 14:36

    8. 14:14