home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #20 / NN_1992_20.iso / spool / sci / crypt / 3212 < prev    next >
Encoding:
Internet Message Format  |  1992-09-12  |  1.0 KB
  1. Xref: sparky sci.crypt:3212 alt.security:4357
  2. Newsgroups: sci.crypt,alt.security
  3. Path: sparky!uunet!spool.mu.edu!sdd.hp.com!wupost!usc!zaphod.mps.ohio-state.edu!n8emr!colnet!res
  4. From: res@colnet.cmhnet.org (Rob Stampfli)
  5. Subject: pgp2.0 signature security problem
  6. Message-ID: <1992Sep12.174358.11564@colnet.cmhnet.org>
  7. Organization: Little to None
  8. Date: Sat, 12 Sep 1992 17:43:58 GMT
  9. Lines: 19
  10.  
  11. I recently had a chance to play around with pgp2.0 on a sVr2 Unix machine.
  12. There appears to be a big security problem with the signature mechanism:
  13. If you "sign" a file, and then add additional information to the end of
  14. the signed file, pgp includes this additional information as part of what
  15. it says you signed.  For instance:
  16.  
  17. echo 1 2 3 4 5 | pgp -fs >xyzzy.pgp
  18. echo 6 7 8 9 10 >>xyzzy.pgp
  19. pgp xyzzy.pgp
  20.  
  21. pgp now tells me I have signed the phrase:
  22.  
  23.     1 2 3 4 5
  24.     6 7 8 9 10
  25.  
  26. when I have in fact only signed the first line.
  27. -- 
  28. Rob Stampfli  rob@colnet.cmhnet.org      The neat thing about standards:
  29. 614-864-9377  HAM RADIO: kd8wk@n8jyv.oh  There are so many to choose from.
  30.