29.12 // Необходимость использования длинных отпечатков ключей в GnuPG
Asheesh Laroia опубликовал сообщение о быстром способе нахождения коллизий к коротким отпечаткам ключей в GnuPG. Он сообщает о том, что может в течении нескольких часов сгенерировать отпечатки для любого ключа на рядовом компьютере и отказывается от публикации программы якобы из-за возможного ущерба из-за спуфинга серверов ключей. Поиск вторых прообразов для коротких отпечатков позволяет создать ключ с коротким отпечатком, таким же как у заданного ключа.
Однако, ничего нового в этой особенности нет и уязвимостью в GnuPG это не является. Пример более ранней реализации в рассылке Fulldisclosure. Использование легкозапоминаемых коротких 32-битных идентификаторов — коротких отпечатков исторически сохранилось с 1992 года (программа PGP), когда подбор прообразов был возможным, но вычислительно трудным на общедоступных компьютерах. В соответствии со стандартом OpenPGP при проверке ключей коллизии в коротких отпечатках не должны приводить ни к каким нежелательным результатам, однако в некоторых оболочках и серверах обработка таких событий может быть реализована неправильно.
Патч, который даёт предпочтение длинным отпечаткам, откладывался разработчиками как несущественный, но он внесён во все ветки последних версий GnuPG. Пользователям рекомендуется доверять только полным отпечаткам ключей и быть осторожными при выводе результатов поиска с серверов, которые осуществляют поиск только по коротким отпечаткам.
Источник: AshesshWorld
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 9796 документов: 488 редакций: 5664
И в комментах к патчу, который сам по себе с августа висел не зарелизенным, отсылка собственно к абзацу The OpenPGP HTTP Keyserver Protocol (HKP), где весь смысл ясен из последнего предложения:
При переписке всегда лучше сравнивать полные отпечатки и обращать внимание, если с сервера импортировались ключи с одинаковыми короткими ID на запрос.
комментариев: 1060 документов: 16 редакций: 32
С Новым Годом! :)
комментариев: 9796 документов: 488 редакций: 5664
Да не нужен же, не?Спасибо, и вас также и всех остальных.а то мы как позеры НГ-ненавистники, отметились в презрении к смене дат в своём местном уютненьком :)
комментариев: 11558 документов: 1036 редакций: 4118