PGP-24052000

Falha na geração de chaves no PGP 5.0i

[PGP, 24.05.2000, revisão 01]

Embora a severidade deste alerta não seja alta, o CAIS acha por bem repassar as seguintes informações sobre recente vulnerabilidade encontrada no codigo do PGP 5.0i.

Este problema afeta apenas as versões do PGP 5.0i para sistemas UNIX que tenham o dispositivo /dev/random, basicamente Linux e algumas plataformas BSD. A vulnerabilidade reside em que, sob determinadas condições, estas versões podem gerar chaves inseguras.

Caso você tenha gerado as suas chaves não interativamente, ou seja, usando um único comando de linha, do tipo:

pgpk -g <DSS or RSA> <key-length> <user-id> <timeout> <pass-phrase>

recomenda-se que esta chave seja descartada e criada uma outra interativamente, usando apenas o comando:

pgpk -g

Outra alternativa é criá-la usando uma versão de PGP não vulnerável.

Referências:

PGP-24052000

PGP24052000.txt download do arquivo

formato: text/plain

Listas de alertas publicados:
2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998

Assinatura dos Alertas do CAIS

Assine a lista de alertas do CAIS e receba antecipadamente, por correio eletrônico, as mais recentes notificações sobre segurança em redes e sistemas.

Formulário de assinatura dos Alertas do CAIS

Formulário de assinatura

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais