漏洞发布时间：2000-6-1 12:19:00
漏 洞 描 述:

存在漏洞的版本：
- PGP 5.0 (Linux), US Commercial/Freeware editions
- PGP 5.0 (Linux), Source code book (basis for PGP 5.0i for Linux)

下面的版本不受影响:
- PGP 1.x products
- PGP 2.x products
- PGP 4.x products
- All other PGP 5.x products
- PGP 6.x products
- PGP 7.x products

　　在NAI最近发现在他们发表的PGP 5.0 for Linux的源代码中，在某些特殊情况下，PGP 5.0 for Linux可能存在安全隐患，可以预计public/private密钥对。该密钥必须在某些特殊情况下才能实现。

包括下面环境：

- 密钥的产生是采用PGP的命令行的选项"unattended batch key generation"方式进行的，没有人为的产生随 机数。

- 在此之前没有人为的产生过随机数来产生密钥，(例如，在采用"unattended batch key generation"模式进 行密钥产生时，PGP随机数文件不存在)

- 在采用"unattended batch key generation"模式时，PGP接入访问UNIX的/dev/random服务来获得随机数。

　　但是由于PGP 5.0 for Linux版本没有很好的处理来自/dev/random设备的随机数据，因此不能够产生强大的具有足够随机的信息量作为public/private密钥对。该问题同时影响RSA和Diffie-Hellman public/private密钥对,无论其密钥的尺寸的大小。

解 决 方 法:

- 废除和取消可能存在安全问题的keys
- 通过随机点取鼠标来进行产生新的public/private密钥对。
- 用新的密钥进行加密数据
- 用新的密钥对信息数据进行签名。
　　升级到最新的版本。