PGP管理员:拒绝短密钥,告别信任危机
记不住啊 。。。/(ㄒoㄒ)/
------------------------------------------------------------------------------------------------------------------------------------------------------------------
有人通过主服务器冒充Linus Trovalds实施攻击,PGP管理员表示拒绝短密钥,才可告别信任危机。
短PGP ID的问题再次备受关注,而诈骗犯这次伪装成了Linus Torvalds和Tore的核心开发者Isis Agora Lovecruft。
短密钥的问题正如其名:相比将完整的PGP密钥告诉别人来获取信息,人们只要记住最后的八位16进制的字符,而这些字符代表了他们完整的指纹信息。
因此,正如Debian的开发者Gunner Wolf的声明,假设A将短密钥ID告诉B(Wolf的密钥为C1DB 921F),那么B就能通过搜索密钥库来找到A的完整指纹。问题是:五年前,我们就得知短密钥容易发生碰撞,并且在2012年,Evil32工程发布了一个32位的针对整个PGP信任网(Web of Trust)的碰撞密钥。
短密钥能用来假冒碰撞攻击:C的最后32位密钥与A的碰撞了,那么制造一个假的短密钥,他就能说服B用这个密钥发送消息给A了。
而如今短密钥拷贝模仿依然在逐渐扩大,和Linus一样,Linux内核邮箱列表中的Greg Kroah-Hartman以及其他的内核开发者在MIT密钥服务器上都曾遭遇密钥冒充。
搜索0x00411886的结果:
https://pgp.mit.edu/pks/lookup?search=0x00411886&op=index
假Linus Torbalds:0F6A 1465 32D8 69AE E438 F74B 6211 AA3B [0041 1886]
真Linus Torbalds:ABAF 11C6 5A29 70B1 30AB E3C4 79BE 3E43 [0041 1886]
搜索0x6092693E的结果:
https://pgp.mit.edu/pks/lookup?search=0x6092693E&op=index
假Greg Kroah-Hartman:497C 48CE 16B9 26E9 3F49 6301 2736 5DEA [6092 693E]
真Greg Kroah-Hartman:647F 2865 4894 E3BD 4571 99BE 38DB BDC8 [6092 693E]
相关人士反映MIT主服务器上的假ID数量已经升级为20000个:
Evil32项目的Eric Swanson在Hackernews发布消息称他对所有假密钥都生成了撤销证书。并且对于任何认定为PGP系统的管理程序,都拒绝使用短密钥。安全远远比快捷重要得多。
来源:漏洞银行
链接:http://www.bugbank.cn/news/detail/57b6f613682ef9aa16dbeefa.html
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
PGP管理员:拒绝短密钥,告别信任危机相关推荐
- 双钥密钥密码算法RSA解析与短密钥实现
单钥密钥算法,由于其加密的速度相对来说比较快,所以常用来对文本文件加密(如TEA.DES等),而双钥密钥算法(如RSA)由于其加密解密的密钥不同并且采用暴力破解的方式也比较低效(基本不可能被破解),低 ...
- java 调用飞信发短信(转)
网上看到有网页版的飞信,http://fetionlib.appspot.com/ 可以添加好友,群发和定时发送短信给飞信好友,还开放了API接口供程序调用,可以用它来监控机器是否正常服务定期给管理员 ...
- Android4.4以后第三方应用无法删除短信的解决方案
一.概述 最近测试提交了一个bug:用我们的应用删除Android5.0手机上的短信失败. 二.原因分析 在google查阅后得知:Android为了防止第三方软件拦截短信和偷发短信吸费,在andro ...
- ZA303学习笔记六管理应用程序的安全(密钥保管库,托管标识,管理应用程序,CA证书)
管理应用程序的安全 部署和配置密钥库 Azure Key Vault密钥库 Azure Key Vault密钥库作用 Key Vault 对象 Azure密钥保管库高可用性 Azure Key Vau ...
- 密钥安全性讨论之密钥分层管理结构
密钥分层管理结构 密钥的安全管理通常采用层次化的保护方法.密钥管理分层管理机制将密钥分为三层,即根密钥.密钥加密密钥和工作密钥 下层密钥为上层密钥提供加密保护,采用分层的密钥结构有助于密钥的管理满足本 ...
- Chapter7 对称密钥原语的实用构造
Chapter7 对称密钥原语的实用构造 文章目录 Chapter7 对称密钥原语的实用构造 7.1 流密码 7.1.1 线性反馈移位寄存器 7.1.2 添加非线性 7.1.3 Trivium 7.1 ...
- [文档Ver 1.0]机顶盒死机监控,频道锁定,发送短信
程序版本排序说明 Ver4.0 Ver3.0 Ver2.0 Ver1.0 2016.01.18 机顶盒死机解决方案, 版本Ver4.0 参数已经调整为线上模式: 1,死机检测主板:监测SDI ...
- 金融行业密钥体系相关知识及原理介绍
前言 好久没更新博客了,最起码有一两个月了,前段时间一直在忙(其实是借口),在去年年底有幸接触了一些金融支付的一些东西,看了一些POS 应用银联规范文档,非常多,还不容易理解~,索性今天有空,就整理下 ...
- WINCC密钥卸载及安装方法
在使用WINCC过程中会遇到各式各样的许可证相关问题,当然正版的话不说了就,接下来讲解非正版如何卸载秘钥 系统提示变量超过上限时,是我们安装了过多的密钥,系统会默认检测最少的,这样我们需要卸载掉其他无 ...
最新文章
- 几种常用编程语言的编程思想和方法 转
- R语言爬取imdb电影海报
- 如何选择漏电保护器规格型号_家用漏电开关型号介绍 如何选用家用漏电开关...
- 解决mysql插入数据时出现Incorrect string value: '\xF0\x9F...' 的异常
- Tecplot如何提取某点数据并导出
- 天津计算机专业排名2015,2015年南开大学计算机类专业最低分是多少?
- 用idea给java项目打jar包
- winform 添加listview数据
- 基于Java的项目开发过程
- 中国能源统计年鉴面板数据-分省市主要污染物排放指标(包含ECXEL2020年中国统计年鉴)
- picGo图片上传到码云失败,报错404-{“message”:“Branch”}的解决方法
- 全国计算机三级网络技术题库南开,计算机三级网络技术机题库_及答案(南开100题).doc...
- 配置Becon frame中的Carplay的Interworking和Vendor Specific字段信息
- 只需三步!查看笔记本电脑连接的WiFi密码
- c语言自动画波形程序,【小程序】C语言实现简易钢琴-利用sin函数构造不同频率波形模拟各琴键发音...
- 设计模式7 ——原型模式
- 不懂设计的产品不是好开发
- Access-Control-Allow-Credentials
- 《以幽默的方式过一生》总结2——夏
- Ubuntu使用bind9配置DNS服务器