攻击则继续持续扩大,Solidot | PGP 短 ID 碰撞攻击持续蔓延,Linus Torvalds 已中招

  攻击则继续持续扩大,Solidot | PGP 短 ID 碰撞攻击持续蔓延,Linus Torvalds 已中招
  biergaizi 写道 “六月份起,互联网上出现了真正的 PGP 短 ID 碰撞攻击:这些短 ID 碰撞的假 PGP 密钥的姓名、邮箱和真密钥完全一样,而且还完全的复制了真实密钥的信任签名,形成了和真实密钥相对称的,假密钥构成的完整假信任网络。这些密钥可以用来进行中间人攻击。而最近几天,攻击则继续持续扩大,网络上已经出现的假冒的 Linus Torvalds 密钥
  

假冒: 0F6A 1465 32D8 69AE E438  F74B 6211 AA3B [0041 1886]

  

真实: ABAF 11C6 5A29 70B1 30AB  E3C4 79BE 3E43 [0041 1886]

  

假冒的 Greg Kroah-Hartman 密钥

  

假冒:497C 48CE 16B9 26E9 3F49  6301 2736 5DEA [6092 693E]
  

真实:647F 2865 4894 E3BD 4571  99BE 38DB BDC8 [6092 693E]
  开发者
  Gunnar Wolf 呼吁
,仅仅把短 ID 改成长 ID 并不解决根本问题,因为把完整密钥指纹切割出一部分来当 ID 本身就是一个糟糕的主意。我们要么展示完整的密钥指纹,要么就什么都不展示让软件自动完成,展示不完整的密钥 ID 没有意义。用户和开发者应该尽快使用完整的指纹来表示密钥,杜绝问题。