绿盟安全月刊->第20期->最新漏洞 PGP 7.0 Split-Key 口令缓存漏洞

日期：2001-04-09

受影响的系统:  
PGP Desktop Security 7.0
描述:
--------------------------------------------------------------------------------


PGP Desktop Security 7.0 是一套密码软件。它可以
生成一种被称为 split-key 的密钥。这种密钥被分成
若干份，若干拥有者人手一份。当要使用这把密钥进行
加密或解密时，必须所有拥者都提供自己所拥有的那一
份，把所有这些份重新连接起来，然后才能进行。这种
密钥通常用来保护那些需要所有相关人员(概念上)同时
在场时才有访问许可的东西，任何单个人都不能单独访
问。

可是在 PGP Desktop Security 7.0 中，如果任何缓
存选项被激活，它就有一个漏洞。这个漏洞使得恶意
用户可以用 split-key 来加密、解密、签名任何文件
或邮件。问题的原因是，在某一次使用 split-key 时，
各个份额的拥有者相互认证从而把各个份额连接起来。
可是在此次连接操作时如果缓存选项被激活，各个拥
有者的口令被缓存起来，在这之后恶意用户就可以随
意使用 split-key 了。

<* 来源：Patrik Birgersson (advisories@wkit.com) *>




--------------------------------------------------------------------------------
建议:

NSFOCUS建议您在使用时不要打开缓存选项。

厂商补丁：

  暂无