Barrapunto

como puede leerse en éste post a bugtraq:

Countermeasures are defined in the OpenPGP drafts since October 2000.

This MDC (Manipulation Detection Code) feature is supported since PGP 7.0 (decryption only) and GnuPG 1.0.2. The latest OpenPGP draft (06) even changed the wording to strongly suggest the use of the MDC feature. We have already changed the GnuPG development version to emit an error and not only a warning when a corrupt MDC hash is detected, so that frontends can't ignore the warning.

GnuPG uses MDC when either Twofish or AES is used as cipher algorithm (selected by the preference system) or when the special MDC flag is listed in the preferences. The option --force-mdc does what you expect.

GnuPGP y PGP no son protocolos, son programas, implementaciones del estándar OpenPGP.

El estándar OpenPGP, que define un protocolo de mensajería cifrada (y más), se creó sobre la base del sistema que usaban las versiones PGP antiguas, y despues varios programas lo han implementado para que los usuarios tengamos una buena interoperabilidad.

Pues eso, aunque leo algunos documentos en inglés con este voy más perdido que Rambo en Marbella.

Exactamente qual es el problema, que el 'atacante' puede ir provar algunas combinaciones para dar con la clave privada ?

Que tiene que ver el hecho de si está comprimido o no el mensaje ?

Alguien me da más que nada alguna aclaración de donde está la vulnerabilidad ? (Veo el fallo pero no la causa)

Gracias

 

¿"en peligro"? ¿Por qué?...
¿No habría sido más lógico poner "Nueva vulnerabilidad..." ?
Cuando he leído el título creía que se trataba de algún asunto de derechos de patentes o algúna medida de los normales del gobierno Bush para evitar que la gente cifrara sus archivos...

¡No nos des esos sustos hombre, que no está el horno para bollos! XD

¿¿ por postear como pobrecito hablador ??

Hombre, en mi caso hay muchos mails que van diréctamente al "recipiente" de la basura ;D

www.barrapuntolibre.org = http://barrapunto.com/index.pl?section=enbruto

Pero por "desgracia" no tod@s lo leen.

será el receptor en todo caso, si quieres que se reconozca la palabra en el original...

yo pensé lo mismo... podían los títulos ser un poco menos chocantes y un poco más descriptivos... mira lo que pone aquí debajo: Importante: # Usa un asunto claro que muestre el contenido de tu mensaje.

Esta claro que la noticia atrae a mas publico si tiene un titulo contundente y chocante. Las reacciones ante un titulo distinto serian muy distintas.

"""Nueva vulnerabilidad de PGP / GnuPG"""

bahh, nada nuevo, no me preocupa, ya la corregiran en la nueva version.> NO LEO LA NOTICIA

"""PGP / GnuPG en peligro?"""

Joder, a ver si van a poder leer mis correos, voy a informarme rapidamente.> LEO LA NOTICIA.

 

Es mas o menos lo mismo que entendí yo. Pero la dificultad de romper estos algorismos se basa en que la clave 'privada' es el resultado de (P-1)*(Q-1) (sino recuerdo mal) tales que P,Q son numeros primos de 1024 bits. Encontrar esos numeros no es nada fácil ni para un ordenador (al tratarse de primos enormes).

Por lo que supongo que el fallo se produce si los números que generan la clave privada no són muy buenos.

Alguien aporta más al tema?

.. tu afirmación sea correcta, yo creo lo mismo, es muy curioso que estemos ya en 128 bits y antes (ie5.0) eran 58, si, si muy sospechoso.

¿Hace dos semanas? Sera mas bien hace 9 dias... (he aqui la referencia a la noticia que mecionas, claramente publicada el dia 13 de Agosto.

Por otra parte, la que se ha publicado ahora en portada tenia dos o tres comentarios interesantes cuando estaba estaba en "en bruto" que convendria leer.

Por cierto, lo de barrapuntolibre.org, tan pronto como quieras montarlo tu mismo. Ahi esta el software y las instrucciones de instalacion. Asi que esperamos a que nos avises cuando lo tengas listo ;)

Saludos. Iñaki.

¿ein?
¿El "receptor de la basura"?
Eso suena más bien a aparato de radio sintonizando la cadena díal XD
Bueno, la verdad, yo para la basura prefiero seguir usando un recipiente (un cubo da muy buenos resultados)

Sasto, y si quieres que tus insignes trabajos obtengan todo el brillo y glamour de una portada, "ecolocar", editar bien bonito y la tienes en tu propio "mi-barrapunto" ;)

Telnet y ftp no son a la vez programa y protocolo. Hay muchas implementaciones de clientesy servidores telnet y ftp, y se entienden entre ellas porque siguen los mismos protocolos.

P.e. putty/telnet de M$ ; gftp/ftp de M$ ; ...y en servidores pues más de lo mismo.

Respecto al estandar OpenPGP, nada impide que haya n clientes diferentes para m plataformas.