Исходное сообщение
"Автор GnuPG основал LibrePGP, форк стандарта OpenPGP" Отправлено Аноним, 08-Дек-23 13:50
>Добавление опциональных пакетов со случайным добавочным заполнением для защиты от анализа трафика. По мнению создателей LibrePGP, подобные пакеты с непроверяемым начальным случайным заполнением создают угрозу использования для создания скрытых каналов передачи данных и обхода систем предотвращения утечек данных Достаточно проспецифицировать заполнение, как содержащие хэш от конкатенации сообщения с разделителем и секретом. Проблема в другом. 1. в формате появляются поля, через которые можно делать утечку 2. но чтобы была утечка, нужно вредоносное ПО на компе 3. если заспецифицировать содержание этих полей, утечка будет обнаружена получателем... 4. ... если вредоносное ПО не слило сам приватный ключ .... 5. ... к которому малварь для этого должна иметь доступ ... 6. ... но имея доступ - никто не мешает малвари внедрить данные в другое место, напр. в добавочный субпакет ... 7. ... но предположим, что утечку обнаружил получатель. Но инфа уже слита Мэллори, и это влечёт катастрофические последствия. Мораль сей басни: 1. отсутствие заполнения ни от чего не защищает: вредонос всегда найдёт способ слить инфу 2. присутствие - было бы неплохо 3. есть способ смягчить угрозу путём спецификации содержимого 4. DLP-системы - это и есть системы анализа трафика. То есть функция как раз от них и должна защищать. Претензии от LibrePGP по этому пункту не обоснованны. P.S. Я не читал спецификацию и письма с взаимными претензиями, всё вышенаписанное - из головы.