mleo
Gold Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
на оффсайте GnuPG есть уведомление GnuPG 2.0.17 full source code
но нет установщика.. как с этим быть?
Добавлено:
если кому интересно с сайта pgpru:
===
Я слышал, что ранние версии PGP 2.6.х надёжнее последних 8.х.
Есть одна хорошая причина, чтобы с этим согласиться:
Исходный код программы чрезвычайно мал и компактен, что упрощает его изучение на предмет недокументированных функций и скрытых уязвимостей.
Во многом зависит от среды исполнения, но для Windows-версий есть несколько причин считать иначе:
PGP 2.6.x не уничтожает данные с диска.
Наследует все основные проблемы безопасности ОС.
Не использует блокировку памяти, что может приводить к сохранению ключевых фраз, расшифрованных закрытых ключей и открытого текста в своп-файле виртуальной памяти ОС.
В криптографических процессах защиты закрытых ключей и подписания данных использует только малостойкий хэш-алгоритм MD5.
Немодифицированные версии поддерживают модули открытых ключей максимум до 2048 бит, что не перекрывает стойкость 128-битовых симметричных сеансовых ключей и приводит к эффекту бутылочного горлышка.
Большинство версий 2.6.x подвержены уязвимости закрытых ключей подписания, что особенно опасно для ключей RSA v3, являющихся также и ключами расшифрования.
Генерирует чуть менее стойкие ключи RSA, основанные на числах Блюма.
Подвержена атаке Шнайера-Джеллада-Катца.
Не поддерживает многих новых функций, таких как PGPdisk, SDA, дополнительных подключей и многого другого, в том числе более новых 256-битовых симметричных шифров.
===
|
