短PGP公钥ID碰撞攻击开始在互联网上蔓延

安全
pigsrollaroundinthem (39396)发表于 2016年06月07日 09时43分 星期二
来自间谍部门
陈少举 写道 " 如果你还在使用短PGP公钥ID(如 0x43D3B2CA ),那么最好尽快开始使用长PGP公钥ID(如 0xD8E2F63643D3B2CA),并立刻开始着手通知其他人。最近一段时间,许多公开的PGP公钥服务器出现大量碰撞出的假冒公钥,特点是短位ID相同,公钥主用户ID内容(姓名、电子邮件地址等)相同,但是并非创建人所创建,生成日期均为 2014年06月16日 。截至目前,已有 多位 用户 中招包括一名Debian开发人员。其中,一些碰撞出来的假冒公钥还被按照真实公钥的互相签署情况进行互签,包括著名的 PGP Global Directory Verification Key 。目前尚不清楚此类攻击的目的为何,而碰撞出来的公钥可能会被用于中间人攻击,发送伪造的加密、签名邮件等危险行为。"

评论已经自动封存,请勿再发言论
显示选项 样式:
声明: 下面的评论属于其发表者所有,不代表本站的观点和立场,我们不负责他们说什么。
  • 历史遗留问题 匿名用户 (得分:0) 2016年06月07日 09时53分 星期二

  • [这是标题] 匿名用户 (得分:0) 2016年06月07日 10时03分 星期二

  • [这是标题] 匿名用户 (得分:0) 2016年06月07日 10时03分 星期二

  • 长 ID 碰撞概率一样不小(得分:1 )

    biergaizi(30884) Neutral 发表于2016年06月07日 10时05分 星期二
    长 ID 碰撞概率一样不小

    gpg --fetch-keys https://biergaizi.info/pubkey.asc
    gpg --fetch-keys https://keybase.io/biergaizi/key.asc
    gpg --recv-key 255211b2395a5a3e0e48a0f1fad3eb05e88e8d6d

    用完整指纹像这样获取密钥也没有什么不方便的啊。