Известная ранее только специалистам дыра в системах шифрования электронных сообщений стала доступна широкой общественности, сообщает ZDNet News. Используя эту дыру, получатель закодированного письма с цифрой подписью может переслать его третьей стороне так, что оно будет выглядеть как посланное изначальным отправителем.
Проблему решил высветить Дон Дэвис, отвечающий за компьютерную безопасность компании . В четверг он выступил по данному вопросу на проходящей в эти дни в Бостоне ежегодной ассоциации компьютерных профессионалов .
Упомянутая недоработка, свойственная распространенным стандартам кодирования и касающаяся технологии отправки защищенных сообщений, давно известна специалистам по шифрованию. Однако вне узких кругов она до сего момента огласку не получала.
Обычно получатель зашифрованного письма уверен, что это письмо никто, кроме отправителя, не читал. Теперь выясняется, что это вовсе не обязательно: дыра в криптозащите позволяет устраивать различные махинации. Например, можно перенаправить письмо с корпоративными или государственными секретами конкурирующей фирме, в СМИ и иностранную разведку. То, что письмо перенаправлено вами, никто не узнает, а первоначальный отправитель будет здорово подставлен. Конечно, это возможно, если настоящий получатель не указан явно в тексте или теме письма.
Кроме того, письмо от сослуживца можно слегка подправить и перенаправить боссу. Ущерб при этом будет зависеть от меры фантазии злоумышленника.
Доверие к шифрованию и цифровой подписи из-за этой недоработки оказывается подмоченным. Дефекту подвержены наиболее распространенные стандарты: Pretty Good Privacy (PGP), S/MIME, MOSS, Privacy Enhanced Mail и PKCS 7.
Решение проблемы на удивление простое. В тексте нужно явным образом указывать получателя. "Дорогой Вася!┘" в начале письма исключает возможность махинации со стороны Васи.
Copyright © 2000-2002 Нетоскоп