На информационном ресурсе применяются рекомендательные технологии (информационные технологии предоставления информации на основе сбора, систематизации и анализа сведений, относящихся к предпочтениям пользователей сети "Интернет", находящихся на территории Российской Федерации)

IT-новости от Geektimes

2 413 подписчиков

На сервере криптографических ключей обнаружен фальшивый ключ Линуса Торвальдса

32-битные Short-ID окончательно дискредитированы


free@turing ~$ gpg --keyserver pgp.mit.edu --recv-keys 10000001 gpg: requesting key 10000001 from hkp server pgp.mit.edu gpg: key 10000001: public key "Linus Torvalds" imported gpg: key 10000001: public key "Linus Torvalds" imported gpg: Total number processed: 2 gpg:            imported: 2  (RSA: 2)

Давно известно, что PGP уязвим к атакам на короткий идентификатор (short-ID). Относительно несложно сгенерировать пару совместимых с GnuPG 4096-битных RSA-ключей с заранее заданным коротким (32-битным) идентификатором short-ID, именем владельца и адресом электронной почты. Процедура поиска коллизии занимает буквально 10-20 минут на обычном компьютере, что демонстрировалось неоднократно. На современном GPU она занимает 4 секунды при использовании программы Scallion.

Раньше атака рассматривалась чисто теоретически, но с начиная с июня 2016 года разработчики начали сообщать о реальных случаях подделки их коротких идентификаторов — фальшивые …
Ссылка на первоисточник
наверх