短PGP公钥ID碰撞攻击开始在互联网上蔓延

陈少举 写道 " 如果你还在使用短PGP公钥ID（如 0x43D3B2CA ），那么最好尽快开始使用长PGP公钥ID（如 0xD8E2F63643D3B2CA），并立刻开始着手通知其他人。最近一段时间，许多公开的PGP公钥服务器出现大量碰撞出的假冒公钥，特点是短位ID相同，公钥主用户ID内容（姓名、电子邮件地址等）相同，但是并非创建人所创建，生成日期均为 2014年06月16日 。截至目前，已有 多位 用户 中招，包括一名Debian开发人员。其中，一些碰撞出来的假冒公钥还被按照真实公钥的互相签署情况进行互签，包括著名的 PGP Global Directory Verification Key 。目前尚不清楚此类攻击的目的为何，而碰撞出来的公钥可能会被用于中间人攻击，发送伪造的加密、签名邮件等危险行为。"