VULHUB ™

GNU Privacy Guard (GnuPG)是一款开放源代码的加密程序。 GnuPG在处理ElGamal签名密钥实现时存在漏洞，远程攻击者可以利用这个问题获得目标用户私钥信息。 GnuPG允许建立ELGamal密钥用于加密和签名。2000年1月的1.0.2版本，GnuPG对建立ELGamal密钥进行的有效修改，可以更高效的进行加密(选择小的X密码指数(secret exponent)和使用小的K用于加密)，不过对这个更改导致签名密钥时产生问题：用于加密的小的K也用于签名，如果攻击者获取一个用此密钥生成的签名，就可以利用这种密码攻击方法来得出这个私钥。由于由这个密钥建立的签名用于绑定用户ID和其他重要密钥，因此此类签名一般都用于primary ElGamal密钥，即使这个密钥从来没有对文档进行签字也可能遭到此漏洞破坏。 这个漏洞针对普通的(type 16)加密ELGamal密钥不受影响，因此GnuPG不允许使用这类型的密钥进行签名。只有ELGamal签名+加密密钥(type 20)存在此漏洞。

GNU Privacy Guard (GnuPG)是一款开放源代码的加密程序。 GnuPG在处理ElGamal签名密钥实现时存在漏洞，远程攻击者可以利用这个问题获得目标用户私钥信息。 GnuPG允许建立ELGamal密钥用于加密和签名。2000年1月的1.0.2版本，GnuPG对建立ELGamal密钥进行的有效修改，可以更高效的进行加密(选择小的X密码指数(secret exponent)和使用小的K用于加密)，不过对这个更改导致签名密钥时产生问题：用于加密的小的K也用于签名，如果攻击者获取一个用此密钥生成的签名，就可以利用这种密码攻击方法来得出这个私钥。由于由这个密钥建立的签名用于绑定用户ID和其他重要密钥，因此此类签名一般都用于primary ElGamal密钥，即使这个密钥从来没有对文档进行签字也可能遭到此漏洞破坏。 这个漏洞针对普通的(type 16)加密ELGamal密钥不受影响，因此GnuPG不允许使用这类型的密钥进行签名。只有ELGamal签名+加密密钥(type 20)存在此漏洞。