id: Гость   вход   регистрация
текущее время 20:07 28/03/2024
Владелец: unknown (создано 29/12/2011 17:16), редакция от 29/12/2011 21:56 (автор: unknown) Печать
Категории: софт, gnupg, openpgp, стандарты
https://www.pgpru.com/Новости/2011/НеобходимостьИспользованияДлинныхОтпечатковКлючейВGnuPG
создать
просмотр
редакции
ссылки

29.12 // Необходимость использования длинных отпечатков ключей в GnuPG


Asheesh Laroia опубликовал сообщение о быстром способе нахождения коллизий к коротким отпечаткам ключей в GnuPG. Он сообщает о том, что может в течении нескольких часов сгенерировать отпечатки для любого ключа на рядовом компьютере и отказывается от публикации программы якобы из-за возможного ущерба из-за спуфинга серверов ключей. Поиск вторых прообразов для коротких отпечатков позволяет создать ключ с коротким отпечатком, таким же как у заданного ключа.


Однако, ничего нового в этой особенности нет и уязвимостью в GnuPG это не является. Пример более ранней реализации в рассылке Fulldisclosure. Использование легкозапоминаемых коротких 32-битных идентификаторов — коротких отпечатков исторически сохранилось с 1992 года (программа PGP), когда подбор прообразов был возможным, но вычислительно трудным на общедоступных компьютерах. В соответствии со стандартом OpenPGP при проверке ключей коллизии в коротких отпечатках не должны приводить ни к каким нежелательным результатам, однако в некоторых оболочках и серверах обработка таких событий может быть реализована неправильно.


Патч, который даёт предпочтение длинным отпечаткам, откладывался разработчиками как несущественный, но он внесён во все ветки последних версий GnuPG. Пользователям рекомендуется доверять только полным отпечаткам ключей и быть осторожными при выводе результатов поиска с серверов, которые осуществляют поиск только по коротким отпечаткам.


Источник: AshesshWorld


 
Несколько комментариев (5) [показать комментарии/форму]
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3