это, скорее, относится к разряду социально-инженерных методов...14.08.02 08:17 Число просмотров: 1212 Автор: paul2k Статус: Незарегистрированный пользователь
...но и грамотное построение логики работы программы. Что в очередной раз подтвердил Брюс Шнайер. Обнаруженная им уязвимость в реализациях PGP и GNUPG позволяет злоумышленнику прочитать зашифрованную при помощи этих средств почту. Идея атаки базируется на известном методе choosen ciphertext attack (атака на основе выбранного шифртекста). После перехвата интересующего злоумышленника письма, в адрес изначального получателя направляется специальным образом сформированное письмо, которое выглядит как зашифрованное. После расшифрования, естественно, получатель видит на экране мусор и нажимает кнопку "Reply" дабы выяснить, что же хотел отправитель, при этом в письмо вставляется результат расшифрования присланного злоумышленником шифртекста. Имея эти данные, последний получает возможность расшифровать перехваченное ранее письмо. Резюме: патчи пишутся, но, нажимая кнопку Reply стоит лишний раз подумать...
нормально реализованная система не должна давать злоумышленнику преимущества на основе знания открытых и закрытых текстов, т.е. быть устойчивой к choosen ciphertext attack. а социальная инженерия тут применяется только для получения plaintext, соответствующий заданному ciphertext.