ElcomSoft запретили рассказывать об уязвимости в PGP

Организаторы конференции InfoSecurity, проходящей 28−30 апреля в Лондоне, сорвали со стенда российской компании ElcomSoft плакат со слоганом «Единственный способ взломать PGP» (The only way to break into PGP), о чем руководитель ElcomSoft Владимир Каталов сообщил в блоге компании.

Представители организатора выставки, компании Reed Exhibitions, аргументировали свои действия жалобой со стороны компании PGP, разработчика одноименной системы шифрования данных. Сотрудники ElcomSoft приклеили на место плаката обычную распечатку A4, поясняющую исчезновение элемента оформления стенда, но и эта бумага была содрана.

Весь сыр-бор разгорелся из-за программы ElcomSoft Distributed Password Recovery, новая версия которой может использовать вычислительную мощность видеокарты для восстановления паролей. В случае с PGP, это дает прирост в скорости перебора паролей от 20 до 200 раз.

Как пояснил Владимир Каталов в интервью Roem.ru, программа (из-за ее цены и требований к аппаратному обеспечению) предназначена в основном для крупных покупателей — корпораций, которые проводят внутренние расследования в связи с утечкой данных, правоохранительных органов и военных ведомств.

Вполне разумно, что такая программа может и должна быть представлена на выставках и конференциях по информационной безопасности. Однако, у представителей Reed Exhibitions, видимо, был свой взгляд на этот вопрос. По словам г-на Каталова, шансов на какую-либо компенсацию у ElcomSoft мало — все участники выставки подписывают соглашение с организаторами, которое дает Reed Exhibitions практически неограниченные права. Единственное, в чем формально были неправы организаторы — по их же собственным правилам нужно сначала в письменной форме уведомить участника выставки, а потом уже приступать в действиям. В случае с ElcomSoft плакат был снят утром, а официальная бумага поступила только вечером.

Владимир Каталов также выразил удивление тем, почему компания PGP так испугалась выхода новой версии Distributed Password Recovery. «Мы не говорим, что защита PGP небезопасна в принципе. Мы лишь отмечает тот факт, что и она может быть взломана, если к ней не подойти со всей серьезностью. Если компания PGP не может объяснить это своим клиентам — это не наша ошибка», — написал он в блоге ElcomSoft.

Как пояснил г-н Каталов, Distributed Password Recovery может взломать защиту PGP, если выбран короткий и не очень сложный пароль. Ускорить процесс помогает использование ресурсов видеокарты и создание целой сети мощных компьютеров, занятых вычислением пароля (Distributed Password Recovery предоставляет такую возможность). Однако, при длине пароля уже в 8 символов, в разном регистре, чередующихся с цифрами, обойти защиту PGP все равно будет практически невозможно.

Ранее ElcomSoft уже приходилось сталкиваться с недовольством корпораций, которые считали, что их права нарушаются работой программ-взломщиков. Все помнят противостояние ElcomSoft и Adobe, но были случаи и не столь яркие. Свои претензии, например, высказывала компания Sage, создатель популярной программы-органайзера Act!. У ElcomSoft есть утилита, которая подбирает пароли к базе данных этой программы. Sage настаивала на том, что нарушаются патенты самой Sage и Microsoft (в Act! используется БД MS SQL) и что ElcomSoft нужно удалить программу со своего сайта. После развернутого ответа юристов ElcomSoft претензии Sage иссякли.

Добавить 9 комментариев

  • Ответить

    Вот, кстати, фраза Владимира Каталова из недавного интервью Софткею — http://softkey.info/press/review6430.php Вы отслеживаете, какие клиенты покупают ваши продукты? Среди них могут быть не только специалисты из ИТ-отделов компаний и простые пользователи, но и компьютерные преступники. Как вы боретесь с нелегальным использованием продуктов? [u]Надо понимать, что мы всего лишь предоставляем инструмент. Как и любое другое средство (от программного обеспечения до оружия), он может быть использован как в благородных, так и в нелегальных или в незаконных целях. Мы физически не можем это контролировать — даже если мы будем продавать наши продукты только государственным организациям, рано или поздно они окажутся доступными для тех, кому совсем не предназначены. Кроме того, все наши продукты работают с локальными данными, то есть необходим физический доступ к системе или к файлам. Удаленные атаки мы не реализовывали и не будем реализовывать.[/u] Согласен с каждым словом в блоге.

  • Ответить
    Альтер Эго

    вот многие из присутствующих тут работают в ИТ отделах крупных компаний… возникала ли у них потребность в таком софте?

  • Ответить

    Уверен что у безопасников, работающих в этих крупных компаниях, такая потребность возникает постоянно. А этот софт взламывает только PGP? Всякие truecrypt контейнеры он не осилит? Сам я не безопасник, извинните, но пользуюсь как раз трукриптом -)

  • Ответить
    Альтер Эго

    дело не в том что не осилит, а в том что она мало распространен, в корпорациях (то есть целевой аудиторией) не используется по этому и софта под него не делают.

  • Ответить
    Альтер Эго

    чтобы брутфорсить трукрипт надо понимать чем завернуто внутри, комбинации могут быть разные. Если там бутерброд из технологий то брутебрут даже для простых ключей надо будет перебрать все варианты, что сзначительно увеличивает время.

  • Ответить

    Меж тем, когда я увидел с какой скоростью перебираются все разумные 8-символьные пароли на видеокарте (есть тут один белорусский гений), я изрядно фалломорфировал. Речь про md5 и даже с однобайтным salt задача получается вполне подъемной. Это при том, то длинее 8 символов пароли редко используются….

  • Ответить
    Иван Бегтин АНО "Информационная Культура"

    > Речь про md5 и даже с однобайтным salt задача получается вполне подъемной. Это при том, то длинее 8 символов > пароли редко используются…. Так от MD5 давно уже пора отказываться с salt или без, если вспомнить рекомендации NIST после нахождения коллизий. Лично я не встречал использования MD5 уже года 3, даже от SHA1 отказываются в пользу одного из SHA-2 алгоритмов. По поводу видеокарт, да, скорость впечатляет, только помимо них есть ещё масса вариантов — как то радужные таблицы, перебор с помощью кластера серверов/видеоприставок и так далее.