PGP管理员:拒绝短密钥,告别信任危机
2016-08-20 09:52
183 查看
记不住啊 。。。/(ㄒoㄒ)/
------------------------------------------------------------------------------------------------------------------------------------------------------------------
有人通过主服务器冒充Linus Trovalds实施攻击,PGP管理员表示拒绝短密钥,才可告别信任危机。
短PGP ID的问题再次备受关注,而诈骗犯这次伪装成了Linus Torvalds和Tore的核心开发者Isis Agora Lovecruft。
短密钥的问题正如其名:相比将完整的PGP密钥告诉别人来获取信息,人们只要记住最后的八位16进制的字符,而这些字符代表了他们完整的指纹信息。
因此,正如Debian的开发者Gunner Wolf的声明,假设A将短密钥ID告诉B(Wolf的密钥为C1DB 921F),那么B就能通过搜索密钥库来找到A的完整指纹。问题是:五年前,我们就得知短密钥容易发生碰撞,并且在2012年,Evil32工程发布了一个32位的针对整个PGP信任网(Web of Trust)的碰撞密钥。
短密钥能用来假冒碰撞攻击:C的最后32位密钥与A的碰撞了,那么制造一个假的短密钥,他就能说服B用这个密钥发送消息给A了。
而如今短密钥拷贝模仿依然在逐渐扩大,和Linus一样,Linux内核邮箱列表中的Greg Kroah-Hartman以及其他的内核开发者在MIT密钥服务器上都曾遭遇密钥冒充。
搜索0x00411886的结果:
https://pgp.mit.edu/pks/lookup?search=0x00411886&op=index
假Linus Torbalds:0F6A 1465 32D8 69AE E438 F74B 6211 AA3B [0041 1886]
真Linus Torbalds:ABAF 11C6 5A29 70B1 30AB E3C4 79BE 3E43 [0041 1886]
搜索0x6092693E的结果:
https://pgp.mit.edu/pks/lookup?search=0x6092693E&op=index
假Greg Kroah-Hartman:497C 48CE 16B9 26E9 3F49 6301 2736 5DEA [6092 693E]
真Greg Kroah-Hartman:647F 2865 4894 E3BD 4571 99BE 38DB BDC8 [6092 693E]
相关人士反映MIT主服务器上的假ID数量已经升级为20000个:
Evil32项目的Eric Swanson在Hackernews发布消息称他对所有假密钥都生成了撤销证书。并且对于任何认定为PGP系统的管理程序,都拒绝使用短密钥。安全远远比快捷重要得多。
来源:漏洞银行
链接:http://www.bugbank.cn/news/detail/57b6f613682ef9aa16dbeefa.html
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
------------------------------------------------------------------------------------------------------------------------------------------------------------------
有人通过主服务器冒充Linus Trovalds实施攻击,PGP管理员表示拒绝短密钥,才可告别信任危机。
短PGP ID的问题再次备受关注,而诈骗犯这次伪装成了Linus Torvalds和Tore的核心开发者Isis Agora Lovecruft。
短密钥的问题正如其名:相比将完整的PGP密钥告诉别人来获取信息,人们只要记住最后的八位16进制的字符,而这些字符代表了他们完整的指纹信息。
因此,正如Debian的开发者Gunner Wolf的声明,假设A将短密钥ID告诉B(Wolf的密钥为C1DB 921F),那么B就能通过搜索密钥库来找到A的完整指纹。问题是:五年前,我们就得知短密钥容易发生碰撞,并且在2012年,Evil32工程发布了一个32位的针对整个PGP信任网(Web of Trust)的碰撞密钥。
短密钥能用来假冒碰撞攻击:C的最后32位密钥与A的碰撞了,那么制造一个假的短密钥,他就能说服B用这个密钥发送消息给A了。
而如今短密钥拷贝模仿依然在逐渐扩大,和Linus一样,Linux内核邮箱列表中的Greg Kroah-Hartman以及其他的内核开发者在MIT密钥服务器上都曾遭遇密钥冒充。
搜索0x00411886的结果:
https://pgp.mit.edu/pks/lookup?search=0x00411886&op=index
假Linus Torbalds:0F6A 1465 32D8 69AE E438 F74B 6211 AA3B [0041 1886]
真Linus Torbalds:ABAF 11C6 5A29 70B1 30AB E3C4 79BE 3E43 [0041 1886]
搜索0x6092693E的结果:
https://pgp.mit.edu/pks/lookup?search=0x6092693E&op=index
假Greg Kroah-Hartman:497C 48CE 16B9 26E9 3F49 6301 2736 5DEA [6092 693E]
真Greg Kroah-Hartman:647F 2865 4894 E3BD 4571 99BE 38DB BDC8 [6092 693E]
相关人士反映MIT主服务器上的假ID数量已经升级为20000个:
Evil32项目的Eric Swanson在Hackernews发布消息称他对所有假密钥都生成了撤销证书。并且对于任何认定为PGP系统的管理程序,都拒绝使用短密钥。安全远远比快捷重要得多。
来源:漏洞银行
链接:http://www.bugbank.cn/news/detail/57b6f613682ef9aa16dbeefa.html
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
相关文章推荐
- 。你可能没有权限使用网络资源。请与这台服务器的管理员联系以查明您是否有访问权限。拒绝访问
- 信任危机!QQ近似于木马!
- 自由职客助程序员摆脱“中年危机”告别裁员顾虑
- 网络无法访问,你可能没有权限使用网络资源,请与管理员联系,拒绝访问
- 应用程序试图执行安全策略不允许的操作。要授予此应用程序所需的权限,请与系统管理员联系,或在配置文件中更改该应用程序的信任级别。
- 低价数字证书所引发网络信任危机
- 总结:修改SharePoint管理中心管理员密码后,新创建的站点拒绝访问
- 谷歌 SSL 数字证书遭黑客伪造,网络信任再度陷入危机
- 信任危机
- 婚恋网站遭信任危机 实名制破解之策
- ssh免密钥登录或建立信任主机遇到的问题
- 三鹿奶粉事件引发百度信任危机
- Win8下Visual Studio编译报“无法注册程序集***dll- 拒绝访问。请确保您正在以管理员身份运行应用程序。对注册表项”***“的访问被拒绝。”问题修正(转)
- 共享打印机 你可能没有权限使用网络资源。请与这台服务器的管理员联系以查明您是否有访问权限。拒绝访问
- Xshell设置密钥登录,禁用管理员密码登录
- 报错 System.ComponentModel.Win32Exception:拒绝访问,如何以管理员身份调试应用程序
- 文件访问被拒绝 需要管理员权限
- 关于一场“信任危机”
- Docker 生产环境之使用可信镜像 - 为内容信任(content trust)管理密钥
- 密钥交换方法 在线可信任第三方、Merkle Puzzles及Diffie-Hellman原理简介