Vprašanja o PGP 2.6.31
 

Zakaj mednarodna PGP verzija?
Uradna MIT-ova PGP verzija (zadnja je 2.6.2) je narejena v ZDA in samo za ZDA. Zaradi odredbe za posebne patente in copyrighte v USA te verzije vsebujejo posebne omejitve, ki so nepomembne za neameriške uporabnike.

Katera je zadnja mednarodna verzije PGP-ja?
Zadnja mednarodna verzija PGP-ja je 2.6.3i. Izšla je 18. januarja 1996. Zasnovana je na source kodi MIT PGP 2.6.2, ki je spremenjena za mednarodno uporabo. PGP 2.6.3i je zamenjala verzijo 2.6.2i.

Kakšne so razlike med verzijami 2.6.3i in 2.6.2?
Najpomembnejše razlike so:
1. 2.6.3i ne uporablja RSAREF enkripcijsko knjižnico
2. je kompatibilen z vsemi drugimi PGP 2.x verzijami
3. v njem so popravljene napake, prisotne v PGP 2.6.2(i)
4. ima nekaj novih značilnosti brez rušenja kompatibilnosti s prejšnjimi verzijami

Na kakšen način je PGP 2.6.3i kompatibilen z drugimi verzijami?
PGP 2.6.3i lahko bere in razume sporočila, ključe in signature, narejene z vsako 2.x verzijo. (Opomba: ključi ne smejo biti daljši od 2048 bitov, nobena uradna verzija nima daljših ključev) Ker uporablja MPILIB, ne pa RSAREF, lahko razume signature in ostalo prejšnjih verzij, vendar jih ne more kreirati. Z druge strani ključe, signature in sporočila verzije PGP 2.6.3i lahko berejo in razumejo verzije 2.x.

Kaj je RSAREF? MPILIB? Kakšna je razlika?
RSAREF je software-ska knjižnica, ki implementira RSA kriptografske rutine. RSA je freeware pod zaščito RSA Data Security Inc., lastnik patenta RSA algoritma je US. Vsi v Ameriki, ki želijo uporabiti RSA algotitem v svojih programih in jih želijo ponuditi brezplačno na uporabo, morajo uporabiti RSAREF. Vse uradne MIT verzije PGP-ja, začetna verzija je 2.5, uporabljajo RSAREF.
MPILIB je enostavno druga implementacija RSA rutin iz RSAREF-a. Originalne MPILIB rutine je napisal Phil Zimmermann in so vključene v vse PGP verzije od 2.3a navzgor. Funkcionalno je MPILIB enak kot RSAREF, le da so MPILIB rutine hitrejše (hitrost je odvisna od uporabljene platforme). MPILIB razume stare signaturne formate iz PGP 2.2 in prejšnjih verzij (pkcs_compat=0), medtem ko jih RSAREF ne razume.
PGP 2.6.3i uporablja MPILIB, ne pa RSAREF, kar je glavni razlog, da se 2.6.3i ne sme uporabljati v US.

Zakaj ni uradna verzija? Ali je uporaba ilegalna?
PGP 2.6.3i je povsem legalna za uporabo le, če:
- ne živite v državi, kjer je enkripcija ilegalna (Francija, Rusija, Iran, Irak ali Kitajska)
- niste fizično v ZDA
- ne uporabljate download-ano verzijo, ki je fizično v ZDA
PGP 2.6.3i ni uradna verzija, ker je zasnovana na source kodi, ki je bila ilegalno prenešena iz ZDA. Ko je enkrat program prenešen iz ZDA, ga lahko vsak brezskrbno uporablja.

Ali se 2.6.3i lahko uporabi za komercialne namene?
Lahko, le da je potrebno kupiti posebno licenco za IDEA algoritem, ki je uporabljen v PGP-ju. IDEA licenco izdaja Ascom Systec AG iz Švice. Za kontaktiranje preko www-ja: http://www.ascom.ch/Web/systec/security/enduser.htm

Cena licence po uporabniku je:
1.. ....50 uporabnikov 15 US$ po kopiji
51.. ..100 uporabnikov 10 US$ po kopiji
101.. .250 uporabnikov  8 US$ po kopiji
251.. .500 uporabnikov  7 US$ po kopiji
501.. 1000 uporabnikov  6 US$ po kopiji
več kot 1000 uporabnikov     na zahtevo

Kje dobiti kopijo PGP 2.6.3i?
http://www.ifi.uio.no/pgp/
ftp.ifi.uio.no/pub/pgp/
ftp.dsi.unimi.it/pub/security/crypt/PGP/
ftp.encomix.es/pub/pgp/
ftp.ox.ac.uk/pub/crypto/pgp/

Ali obstaja verzija za Windows-e?
Obstaja verzija za WinNT/95,ki je izšla pred kratkim. Izvajalne (exe) verzije obstajajo za MS-DOS (16 & 32 bitne), OS/2, Amiga, Atari Machintosh, Unix, Liux in BeOS.

Kako preveriti integriteto PGP 2.6.3i?
Vsi PGP 2.6.3i vsebujejo v zbirki listin datoteko signatur, s katerimi lahko preverimo avtentičnost ostalih datotek programa. Za preverjanje signature je potreben signaturni javni ključ:
Stale Schumacher (0xCCEF447D) : source code, MS-DOS, Mac and OS/2 versions
Peter Simons (0x34D74DC1) : Amiga version
Guy Geens (0xAB2A3F25) :Atari version
Vsi ključi so dosegljivi s strežnika javnih ključev.

Ali 2.6.3i vsebuje bugs-e?
Program je 100% brez napak. To je verjetno najbolj "bugs free" verzija PGP-ja danes. Obstaja e-mail naslov za prijavo odkritih napak: pgp-bugs@ifi.uio.no.

Kdo je odgovoren za PGP 2.6.3i?
PGP 2.6.3i je sestavil in objavil Stale Schumacher iz Norveške s pomočjo mnogih posameznikov širom sveta. Mednarodno PGP verzijo podpira in varuje mednarodna razvojna skupina, ki koordinira svoje delo preko Internet e-mail list. Kontaktni e-mail naslov za priključitev tej listi je stale@hypnotech.com.
Opomba: Phil Zimmermann nima nič s PGP 2.6.3i.

Javni strežniki PGP ključev

Obstajajo javni PGP strežniki ključev, ki omogočajo izmenjavo javnih ključev preko Interneta in UUCP mail sistema. Te usluge na noben način ne podpirajo šole ali organizacije, ki imajo te strežnike. Torej omogočajo izmenjavo ključev in ne zagotavljajo pravilnosti ključev. Za preverjanje lastništva ključev se uporablja signatura. Usluge se lahko prekinejo brez predhodnega opozorila.
Strežniku je zahtevo potrebno poslati v obliki e-mail-a, npr: Subject: help. Dovolj je poslati javni ključ enemu strežniku, ki bo zahtevo za dodajanje ključa posredoval drugim strežnikom. Za dodajanje javnega ključa strežniku ključev je potrebno poslati sporočilo, podobno kot:

 To: pgp-public-keys@keys.pgp.net
 From: ime@naslov
 Subject: add
 --------BEGIN PGP PUBLIC KEY BLOCK--------
 Version: 2.6.3i
 <bla bla bla>
 --------END PGP PUBLIC KEY BLOCK------

Učinkoviti ukazi so:
ukazi    telo sporočila vsebuje
ADD   vaš PGP javni ključ (javni ključ za dodajanje je telo sporočila) (-ka)
INDEX lista vseh PGP ključev, ki jih strežnik pozna (-kv)
VERBOSE INDEX lista vseh PGP ključev, razširjen format (-kvv)
GET   dobiti celotno datoteko javnih ključev (-kxa *)
GET <userid>  dobiti samo en ključ (-kxa <userid>)
MGET   dobiti vse ključe, ki se ujemajo <userid>
LAST <n>  dobiti vse ključe upload-ane zadnjih n dni

Nekateri strežniki:
pgp-public-keys@pgp.pipex.net
Mark Turner <markt@pipex.net>

pgp-public-keys@dsi.unimi.it
David Vincenzetti <vince@dsi.unimi.it>

pgp-public-keys@goliat.upc.es
Alvar Vinacua <alvar@turing.upc.es>

pgp-public-keys@srce.hr
Cedomir Igaly <cigaly@srce.hr>
Dostopne www strani:
http://www.service.uit.no/pgp/servruit.eng.html
http://www.cl.cam.ac.uk/PGP/pks-toplev.html
http://www.nic.surfnet.nl/pgp/pks-toplev.html
http://goliat.upc.es/~alvar/pks/pks-toplev.html
http://martigny.ai.mit.edu/~bal/pks-toplev.html
Strežniki datotek ključev preko FTP-ja:
ftp://ftp.uit.no/pub/crypto/pgp/keys/pubring.pgp
ftp://ftp.informatik.uni-hamburg.de/pub/virus/crypt/pgp/pubkring.pgp
ftp://ftp.dsi.unimi.it/pub/security/crypt/PGP/public-keys.pgp
ftp://ftp.ox.ac.uk/pub/crypto/pgp/keys/pubring.pgp
ftp://ftp.sunet.se/pub/security/tools/crypt/pgp/keys/pubring.pgp
ftp://ftp.funet.fi/pub/crypt/cryptography/pgp/keys/pubring.pgp
ftp://pgp.mit.edu/pub/keys/public-keys.pgp
ftp://pgp.iastate.edu/pub/pgp/public-keys.pgp
ftp://burn.ucsd.edu/Crypto/public-keys.pgp
ftp://jpunix.com/pub/PGP/

Obstaja komercialna "registracija" ključev, ki deluje na four11.com. Servis na direktoriju four11 je postavljen za pomoč pri iskanju oseb ali skupin. Člani tega servisa lahko imajo ključ, certificiran od four11 in postavljen na njihov strežnik, signatura ključa four11 pomeni, da je ta uporabnik izpolnil njihove zahteve za signaturo. "SLED Silver Signatures" (podpis srebrnih sani) je ena od four11 signatur, ki zahteva identifikacijo lastnika ključa na eden od načinov:

· e-mail-ana ali faksirana kopija vozniške izkaznice
· e-mail-ana ali faksirana kopija potnega lista
· kopija plačilnega čeka za njihove usluge
Naslova: info@four11.com ali http://www.four11.com.

Ranljivost PGP-ja

Ne obstaja sistem za zaščito podatkov, ki bi bil neranljiv. Tudi PGP se lahko preslepi na različne načine.

Kompromitirano geslo in tajni ključ
Eden od najbolj enostavnih napadov je, če zapišemo geslo tajnega ključa. Na ta način geslo lahko pride v napačne roke, kar avtomatično razkrije tudi tajni ključ. Tudi ni zaželjeno uporabljati gesel, ki se lahko uganejo, ki so sestavljena iz ene same besede. Obstajajo računalniški programi, ki razbijajo enobesedna gesla tako, da enostavno uporabijo vse besede jezika. Zaradi tega je dosti bolje uporabljati geslo-frazo, čeprav obstajajo programi, ki razbijajo fraze tako, da uporabijo znane citate, ...

Podtaknjen javni ključ
Podtaknjen javni ključ je eden izmed najbolj kritičnih ranljivosti kriptosistema javnega ključa. Torej, javnemu ključu lahko verjamemo edino, če ga dobimo od njegovega lastnika ali če ima signaturo osebe, ki ji verjamemo. Najboljše je shranjevati datoteki tajnih in javnih ključev na osebnem računalniku, ne na deljenemu sistemu. Priporočjo se backup kopije teh datotek.

"Ne čisto zbrisane" datoteke
Kadar zakodiramo datoteko in zbrišemo prvotno datoteko, je OS ne izbriše fizično, ampak samo označi bloke kot brisane. To je podobno kot, da "občutljive" dokumente damo na reciklažo, ne pa v rezač. Bloki na disku še vedno vsebujejo podatke, ki se bodo prekrili z novimi podatki enkrat v prihodnosti. Radovednež lahko konstruira datoteko iz fizično neizbrisanih blokov.
Zdravilo proti tej "bolezni" je na nek način ponovno uporabiti "zbrisane" bloke. Lahko se uporabi Norton Utilities za MSDOS, drugi podobni programi ali PGP opcija -w (wipe).

Virusi in trojanski konji
Virus je lahko napisan tako, da okuži PGP ali OS in npr.: zabeleži geslo, tajni ključ ali celo odkodira sporočilo. Lahko je narejen tako, da spremeni delovanje PGP-ja pri preverjanju signatur. Zaščita proti temu so anti-virusni programi.
Podoben napad bi lahko bil lažni PGP oz. "trojanski konj". Temu se izognemo tako, da dobimo PGP iz pravega izvora ali enostavno preverimo digitalne signature s pomočjo preverjenega javnega ključa.

Fizična, zaščitna luknja
Luknja v fizični zaščiti lahko omogoči vlomilcu, da fizično okvari plaintext datoteko. Odločen vlomilec to lahko naredi  z vlomom, prebiranjem smeti, preiskavo in zamplembo, s podkupovanjem, uceno ali infiltracijo v vaše osebje.

Bolj dragi napadi
To je detekcija elektromagnetnih signalov računalnika. Drago je, čeprav je bolj poceni kot napad s kriptoanalizo. Posebni inštrumenti, postavljeni v bližino računalnika, lahko detektirajo udarce po tipkovnici ter izpisa na zaslonu. Na ta način odkrijejo tajno geslo, sporočila, itn. Proti temu obstajajo posebni "prekrivači", ki se imenujejo "Tempest" (nevihta) in jih uporabljajo nekatere vladne organizacije.

Izpostavljenost na večuporabniškem sistemu
Na večuporabniških sistemih (Unix, VAX/VMS) je velik rizik razodkritja. Administrator Unix sistema ali pameten vsiljevalec lahko bere plaintext sporočila ali uporabi software za izpisovanje na zaslon vsega, kar tipka uporabnik PGP-ja.

Analiza prometa
Analiza prometa je kontrola prometa sporočil oz. evidenca od koga je sporočilo in komu je namenjeno, velikost sporočila, čas pošiljanja sporočila.

Ponarejene časovne znamke
Nepošten uporabnik PGP-ja lahko spremeni čas računalnika in kreira certifikat in signaturo s ponarejeno časovno znamko. Na ta način spremeni čas nastanka sporočila in lahko trdi, da je npr.: določen dokument podpisal prej ali kasneje kot je dejansko. Temu se je možno izogniti z uporabo tretje osebe kot priče. Enostavno, "priča" naredi svojo signaturo na dokument.

Kriptoanaliza
Drag kriptoanalitični napad lahko naredi nekdo, ki ima dostop do superračunalniških virov, npr.: vladne agencije za inteligenco. Čeprav do zdaj ni nobenemu uspelo dekodirati RSA javni ključ in kot dokaz za to je podatek, da vlada ZDA uporablja RSA algotitem za zaščito nuklearnega orožja. Tudi IDEA algoritem do zdaj ni razbit, čeprav vedno obstaja dvom.

   NAZAJ                                                         NAPREJ