Re: [DONE] wml://security/2014/dsa-2860.wml
On Wed, Feb 12, 2014 at 11:29:42AM +0100, Lev Lamberov wrote:
...
> -<p>Holger Levsen discovered that parcimonie, a privacy-friendly helper to
> -refresh a GnuPG keyring, is affected by a design problem that undermines
> -the usefulness of this piece of software in the intended threat model.</p>
> -
> -<p>When using parcimonie with a large keyring (1000 public keys or more),
> -it would always sleep exactly ten minutes between two key fetches. This
> -can probably be used by an adversary who can watch enough key fetches to
> -correlate multiple key fetches with each other, which is what parcimonie
> -aims at protecting against. Smaller keyrings are affected to a smaller
> -degree. This problem is slightly mitigated when using a HKP(s) pool as
> -the configured GnuPG keyserver.</p>
> +<p>Холгер Левсен обнаружил, что parcimonie, утилита для обновления связки
> +ключей GnuPG, содержит проблему проектирования, которая подрывает
тут скорее "дефект общего плана (разработки)" или просто "дефект дизайна"
> +полезность данного ПО для защиты от предполагемых угроз.</p>
предполаг_а_емых
>
> -<p>For the stable distribution (wheezy), this problem has been fixed in
> -version 0.7.1-1+deb7u1.</p>
> +<p>При использовании parcimonie с большими связками ключей (1000 и более публичных ключей)
> +утилита каждый раз засыпает между двумя загрузками ключей ровно на десять минут. Это
> +может использоваться злоумышленниками, которые имеют возможность просмотреть достаточное количество загрузок ключей для
> +установления корреляции загрузок ключей друг с другом, а именно от этого и
> +должна защищать parcimonie. Меньшие связки ключей подвержены в меньшей
подвержены чему? может быть "этой проблеме"?
Reply to: