Ezt. Hát igen az egyik digitális legenda a digitális aláírás, ahogy a kormány régiesen nevezi az elektronikus aláírás.
Most a kormány annyira megbízik ebben, hogy még vissza is vesz belőle
"Jelentős könnyítés jelenik meg a legalább fokozott biztonságú elektronikus aláírással ellátott dokumentumok tekintetében, mivel a jogszabály nem írja elő az időbélyegző kötelező használatát."
A lopásokat sokkal könnyeben tudná leplezni ezután egy kormány, mert régen legalább lehetett valami iratot lengetni, hogy itt a bizonyíték, mostmár csak egy átírható digitális dokumentum marad.
Jaj, dehát elfelejtettem volna, van rajta digitális aláírás. Mint ebben az esetben:
"Húsz évig hamisíthatók voltak a GnuPG aláírások"
Valószínű mind a mai napig, csak az új módszerről még nem tud a média.
"SigSpoof" névre keresztelt biztonsági rés, mint azt neve is sejteti, a digitális aláírások meghamisítását teszi, pontosabban tette lehetővé az emailekben. A sérülékenységet ugyanis, amely többek között az Enigmailt, a GPGToolst és a python-gnupg-t is érintette, szerencsére mindegyik szoftver esetében gyorsan befoltozták."
Történelmi mértéket nézve a 20 év tényleg szinte semmiség.
"A hiba, amelyről Brinkmann blogján részletesen beszámolt, lehetővé teszi távoli online támadóknak, hogy tetszőleges hamis aláírásokkal lássák el leveleiket. Noha a sebezhetőséget gyorsan orvosolták, az a GnuPG hajnala, egész pontosan az 1998-ban debütált 0.2.2-es verzió óta hozzáférhető volt a potenciális támadók számára."
"Ennek megfelelően számos, egészen az érintett alkalmazások legutóbbi frissítéséig bezárólag kapott levél érkezhetett a címzettekhez hamis aláírással - a helyzetet súlyosbítja, hogy a GnuPG-t nem csak az emailek védelmére vetik be, de biztonsági másolatok, szoftverfrissítések, vagy akár forráskódok aláírására is használják különböző verziókezelő rendszerekben."
Ilyen dolgokkal teli a techvilág. Pl. simán lehet hogy a felhőket is lékelik már az első naptól kezdve csak még nem tudják hogyan. És a felfedezett hibák valahogy mindig azt teszik lehetővé, hogy más is lássa a dolgainkat, nem pedig mondjuk összeomlik a rendszer vagy valami.
És a sluszpoén, hogy úgy lett már megint kevésbé biztonságos a dolog, hogy azt hitted fokozod azt:
"Szerencsére a sérülékenység csak akkor használható ki, ha az érintett szoftverekben a különböző bugok és hibás működés javításához használt verbose funkció be van kapcsolva - utóbbi pedig a fentebb említett alkalmazások egyikében sem alapértelmezett beállítás. Ugyanakkor ahogy arra az Ars Technica is kitér, egy sor online elérhető, előre elkészített beállítási séma már bekapcsolja a verbose-t, ilyen az Ultimate GPG Settings vagy a cooperpair safe defaults is. Ezek alkalmazása ráadásul a SigSpoof felfedezéséig kifejezetten javasolt volt a GnuPG felhasználóknak a nagyobb(nak vélt) biztonság érdekében."
"Emellett mindenki frissítsen a GnuPG, Enigmail, illetve GPGTools legújabb verziójára. "
Frissítsen csak... úgyis van másik sérülékenység és mehet tovább a buli.
