ptsecurity 18 авг 2016 в 12:48

В библиотеке шифрования Libgcrypt обнаружена критическая уязвимость, существовавшая 18 лет

2 мин

14K

Блог компании Positive TechnologiesИнформационная безопасность*Криптография*Разработка под Linux*

+23

Комментарии 5

vilgeforce 18 авг 2016 в 13:00

А счастье было так близко…
ID ключа, если я ничего не путаю — единственный DWORD, который меняется на раз…

grossws 18 авг 2016 в 20:57

PGP/GPG key ID — это кусок fingerprint'а ключа. Short ID — последние 4 байта в hex, long ID — последние 8 байт. Для автоматизированного получения ключей необходимо использовать полные fingerprint'ы.

kay 18 авг 2016 в 22:29

Если используются sub keys, то получить из полный fingerprint можно командой: gpg --fingerprint --fingerprint

mxms 18 авг 2016 в 18:19

Ошибка была обнаружена экспертами Технологического института немецкого города Карлсруэ Феликс Дёрре (Felix Dörre) и Владимир Клебанов

Обнаружена (кем? чем?) — Феликсом Дёрре и Владимиром Клебановым.

grossws 18 авг 2016 в 20:54

Кроме того, недавно стало известно о том, что неизвестным удалось подделать PGP-ключи создателя Linux Линуса Торвальдса и ключевых разработчиков TOR. Для этого они использовали «клоны» коротких идентификаторов ключей PGP — как известно такие short-ID разных ключей могут совпадать.

Про проблему известно 5 лет: http://www.asheesh.org/note/debian/short-key-ids-are-bad-news.html. И прекрасная статья на эту же тему http://gwolf.org/node/4070.

Другое дело, что большинство до сих пор не чешется. И использует короткие fpr.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий