LINUX.ORG.RU

История изменений

Исправление hateyoufeel, (текущая версия) :

есть логичное предположение, что gpg меньше по объёму кода

Ни разу. В GPG порядка 300к строк на C. Жаббер-клиент и какая-нибудь libotr вместе буду сравнимы по размерам, а то и меньше. GnuPG – тот ещё монстр, на самом деле.

при этом за его безопастностью следят намного активнее

Ахахахахах! Нет. В GPG с безопасностью всё гораздо хуже. Там регулярно дыры находят только в сишном коде. А если вспомнить про просто ЭПИЧНЕЙШИХ масштабов обсёр с SKS серверами 5 лет назад, то становится понятно, что от этой дряни надо бежать.

https://gist.github.com/rjhansen/67ab921ffb4084c865b3618d6955275f

If you fetch a poisoned certificate from the keyserver network, you will break your GnuPG installation.

Poisoned certificates cannot be deleted from the keyserver network.

The number of deliberately poisoned certificates, currently at only a few, will only rise over time.

We do not know whether the attackers are intent on poisoning other certificates.

We do not even know the scope of the damage.

Вот в этом весь твой PGP/GPG. Вот настолько всё плохо, да.

Исправление hateyoufeel, :

есть логичное предположение, что gpg меньше по объёму кода

Ни разу. В GPG порядка 300к строк на C. Это тот ещё монстр, на самом деле.

при этом за его безопастностью следят намного активнее

Ахахахахах! Нет. В GPG с безопасностью всё гораздо хуже. Там регулярно дыры находят только в сишном коде. А если вспомнить про просто ЭПИЧНЕЙШИХ масштабов обсёр с SKS серверами 5 лет назад, то становится понятно, что от этой дряни надо бежать.

https://gist.github.com/rjhansen/67ab921ffb4084c865b3618d6955275f

If you fetch a poisoned certificate from the keyserver network, you will break your GnuPG installation.

Poisoned certificates cannot be deleted from the keyserver network.

The number of deliberately poisoned certificates, currently at only a few, will only rise over time.

We do not know whether the attackers are intent on poisoning other certificates.

We do not even know the scope of the damage.

Вот в этом весь твой PGP/GPG. Вот настолько всё плохо, да.

Исходная версия hateyoufeel, :

есть логичное предположение, что gpg меньше по объёму кода

Ни разу. В GPG порядка 300к строк на C. Это тот ещё монстр, на самом деле.

при этом за его безопастностью следят намного активнее

Ахахахахах! Нет. В GPG с безопасностью всё гораздо хуже. Там регулярно дыры находят только в сишном коде. А если вспомнить про просто ЭПИЧНЕЙШИХ масштабов обсёр с SKS серверами 5 лет назад, то становится понятно, что от этой дряни надо бежать.

https://gist.github.com/rjhansen/67ab921ffb4084c865b3618d6955275f