URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 108844
[ Назад ]
Исходное сообщение
"Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т..."
Отправлено opennews , 16-Авг-16 11:08
Для верификации (https://www.kernel.org/signature.html) загрузки архивов с выпусками ядра Linux вместо общей централизованной цифровой подписи каждое ядро снабжено персональной PGP-подписью лица, сформировавшего релиз. Как правило, это Линус Торвальдс или Грег Кроа-Хартман. В списке рассылки разработчиков ядра Linux опубликовано (https://lkml.org/lkml/2016/8/15/445) предупреждение о выявлении фиктивных ключей Линуса Торвальдса (https://pgp.mit.edu/pks/lookup?search=0x00411886&op=index) и Грега Кроа-Хартмана (https://pgp.mit.edu/pks/lookup?search=0x6092693E&op=index), короткие 8-символьные идентификаторы которых совпадают с реальными ключами Линуса и Грега.
При верификации архивов рекомендуется проверять только полные 256-битовые слепки ключей, так как короткие 32-битовые слепки подвержены (http://gwolf.org/node/4070) атаке через выявление коллизий (http://www.asheesh.org/note/debian/short-key-ids-are-bad-new...). Начиная с июня наблюдается всплеск появления фиктивных ключей - в публичных серверах хранения ключей стали появляться ключи с ФИО и email известных разработчиков, короткий идентификатор которых совпадает с реальными ключами данных разработчиков.
Linus Torvalds (https://pgp.mit.edu/pks/lookup?search=0x00411886&op=index):
- Поддельный ключ: 0F6A 1465 32D8 69AE E438 F74B 6211 AA3B [0041 1886]
- Нормальный ключ: ABAF 11C6 5A29 70B1 30AB E3C4 79BE 3E43 [0041 1886]
Greg Kroah-Hartman (https://pgp.mit.edu/pks/lookup?search=0x6092693E&op=index):
- Поддельный ключ: 497C 48CE 16B9 26E9 3F49 6301 2736 5DEA [6092 693E]
- Нормальный ключ: 647F 2865 4894 E3BD 4571 99BE 38DB BDC8 [6092 693E]
URL: https://lkml.org/lkml/2016/8/15/445
Новость: http://www.opennet.ru/opennews/art.shtml?num=44973
Содержание
- Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т...,commiethebeastie, 11:08 , 16-Авг-16
- Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т...,Аноним, 11:32 , 16-Авг-16
- Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т...,iv, 11:46 , 16-Авг-16
- Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т...,Ананизмус, 12:17 , 16-Авг-16
- Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т...,A.Stahl, 12:32 , 16-Авг-16
- Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т...,Azaza, 16:15 , 16-Авг-16
- Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т...,Аноним, 18:49 , 16-Авг-16
- Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т...,rob pike, 19:52 , 16-Авг-16
- Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т...,Azaza, 20:01 , 16-Авг-16
- Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т...,Аноним, 07:30 , 17-Авг-16
- Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т...,Аноним, 19:23 , 16-Авг-16
- Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т...,Azaza, 19:58 , 16-Авг-16
- Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т...,Azaza, 20:05 , 16-Авг-16
- Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т...,Мимокрокодил, 12:37 , 16-Авг-16
- Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т...,snmp agent, 12:41 , 16-Авг-16
- Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т...,АнонимХ, 13:16 , 16-Авг-16
- Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т...,ANONYM, 18:32 , 16-Авг-16
- Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т...,Аноним, 20:01 , 16-Авг-16
- Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т...,ымыныны, 16:16 , 16-Авг-16
- Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т...,Вася, 13:44 , 16-Авг-16
- Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т...,A.Stahl, 14:02 , 16-Авг-16
- Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т...,Аноним, 16:37 , 16-Авг-16
- Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т...,robux, 17:08 , 16-Авг-16
- Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т...,ЖоБэ, 17:43 , 16-Авг-16
- Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т...,fi, 16:31 , 17-Авг-16
- Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т...,HIMEM.SYS, 11:27 , 16-Авг-16
- Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т...,Andrey Mitrofanov, 21:16 , 16-Авг-16
- Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т...,Омский линуксоид 2, 11:50 , 16-Авг-16
- Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т...,Аноним, 12:52 , 16-Авг-16
- Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т...,Вася, 13:45 , 16-Авг-16
- Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т...,путукфд, 13:49 , 16-Авг-16
- Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т...,A.Stahl, 14:41 , 16-Авг-16
- Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т...,Аноним, 16:38 , 16-Авг-16
- Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т...,Аноним, 17:25 , 16-Авг-16
- Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т...,Аноним, 12:16 , 16-Авг-16
- Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т...,Аноним, 14:06 , 16-Авг-16
- Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т...,Аноним, 13:03 , 16-Авг-16
- Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т...,Аноним, 13:05 , 16-Авг-16
- Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т...,Аноним, 13:27 , 16-Авг-16
- Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т...,Вася, 13:47 , 16-Авг-16
- Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т...,Тузя, 14:41 , 16-Авг-16
- Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т...,Аноним, 16:21 , 16-Авг-16
- Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т...,robux, 17:12 , 16-Авг-16
- Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т...,Тузя, 21:14 , 16-Авг-16
- Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т...,sage, 17:46 , 16-Авг-16
- Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т...,Аноним, 19:11 , 16-Авг-16
- Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т...,Аноним, 20:17 , 16-Авг-16
- Выявлен короткого PGP-Линуса,Andrey Mitrofanov, 22:23 , 16-Авг-16
- Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т...,Аноним, 20:41 , 16-Авг-16
- Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т...,Andrey Mitrofanov, 21:27 , 16-Авг-16
- Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т...,Аноним, 00:12 , 17-Авг-16
Сообщения в этом обсуждении
"Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т..."
Отправлено commiethebeastie , 16-Авг-16 11:08
Да неудивительно, 8 цифр, вероятность коллизии огромная.
"Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т..."
Отправлено Аноним , 16-Авг-16 11:32
Таки не цифр.
"Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т..."
Отправлено iv , 16-Авг-16 11:46
> Таки не цифр.С каких это пор шестнадцатиричные цифры не цифры?
"Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т..."
Отправлено Ананизмус , 16-Авг-16 12:17
Тут видимо имеется в виду что цифры это 0-9, а все остальное это числа(темболее шестнадцатиричные)
"Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т..."
Отправлено A.Stahl , 16-Авг-16 12:32
Это с какой стати? D это вполне себе шестнадцатеричная цифра. И F тоже цифра.
"Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т..."
Отправлено Azaza , 16-Авг-16 16:15
Символ алфавита будет корректнее,не? Цифры же суть символы алфавита.
"Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т..."
Отправлено Аноним , 16-Авг-16 18:49
Кому ты это объясняешь? Здесь гуманитариев нет и число от цифры или буквы никто отчилить не в состоянии.
"Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т..."
Отправлено rob pike , 16-Авг-16 19:52
Не-гуманитарий как раз согласился бы с тем что цифры суть символы некоторого алфавита, которым в математике принято обозначать элементы того или иного числового множества.
"Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т..."
Отправлено Azaza , 16-Авг-16 20:01
См мой коммент ниже в этой ветке.
"Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т..."
Отправлено Аноним , 17-Авг-16 07:30
Наоборот, для гуманитариев это очевидно, они то в языках получше разбираются. Вы слишком хорошего мнения о технарях.
"Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т..."
Отправлено Аноним , 16-Авг-16 19:23
нет. Потому что их гораздо больше чем шестнадцатеричных цифр.
"Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т..."
Отправлено Azaza , 16-Авг-16 19:58
>> In computer science, an alphabet is a finite non-empty set. The elements of an alphabet are called the letters or symbols of the alphabet.
>> An example of an alphabet is {\displaystyle \{-,\cdot \}} {\displaystyle \{-,\cdot \}} which may be used for Morse code or {begin, if, else, for, while} which may be the keywords of a Programming language.
>> The set of natural numbers is not an alphabet because as it is not finite.
>> The alphabet which is used the most in computer science is {0,1}. It is called the **binary alphabet** because it contains two symbols. An alphabet can be used to make a string (or word). This is a finite Sequence of letters from the alphabet. For example, a string of length 5 over {0,1} is 01101.
>>> binary alphabetТаки можно шестнадцатеричное число называть символом шестнадцатеричного алфавита. Т.е. ше/тнадцатеричное число - буква шестнадцатеричного алфавита, она же буква.
"Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т..."
Отправлено Azaza , 16-Авг-16 20:05
> нет. Потому что их гораздо больше чем шестнадцатеричных цифр.В шестнадцатеричном алфавите - 16 символов, по аналогии с бинарным, в котором 2. Чего там у тебя ещё входит, я без понятия.
"Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т..."
Отправлено Мимокрокодил , 16-Авг-16 12:37
Цифра это знак обозначающий число.
"Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т..."
Отправлено snmp agent , 16-Авг-16 12:41
Шестнадцатеричные цифры
https://ru.wikipedia.org/wiki/Цифры
"Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т..."
Отправлено АнонимХ , 16-Авг-16 13:16
Как на счет шестнадцатеричного числа?
"Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т..."
Отправлено ANONYM , 16-Авг-16 18:32
Хеши не являются числами, в том смысле, в котором используются числа. Значение хэша не является количественным измерением чего-либо.
"Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т..."
Отправлено Аноним , 16-Авг-16 20:01
Почти все хеши в современной электронике являются результатом множества целочисленных математических операций над исходным натуральным числом или набором натуральных чисел, и представляют собой также натуральное число. Для дотошных: натуральное число множества N0.
"Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т..."
Отправлено ымыныны , 16-Авг-16 16:16
может, в новом учебном году узнаешь об этом.
"Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т..."
Отправлено Вася , 16-Авг-16 13:44
С тех самых пор, как пан выше не осилил дао шестнадцатиричного исчисления.
"Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т..."
Отправлено A.Stahl , 16-Авг-16 14:02
>дао шестнадцатиричного исчисленияНу нихрена себе. А когда я был маленький и учился в школе, то арифметика считалась чем-то простым и базовым. А теперь вот -- глубокое философское понятие...
"Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т..."
Отправлено Аноним , 16-Авг-16 16:37
Не ссорьтесь, горячие парни. Цифра - это один символ, а число - совокупность цифр (нескольких, но в случае однозначного числа цифра одна).
"Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т..."
Отправлено robux , 16-Авг-16 17:08
> Да неудивительно, 8 цифр, вероятность коллизии огромная. "Неудивительно, 4 байта - вероятность коллизии огромная!"
- вот как он должен был написать для Ъ :)
"Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т..."
Отправлено ЖоБэ , 16-Авг-16 17:43
> "Неудивительно, 4 байта - вероятность коллизии огромная!" - вот как он должен был написать для Ъ :)"Неудивительно, 4 восьмибитных слова - вероятность коллизии огромная!" - очевиднофикс
"Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т..."
Отправлено fi , 17-Авг-16 16:31
каких 8-м ??? там hex от 4 байт - 32 бита!!!
"Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т..."
Отправлено HIMEM.SYS , 16-Авг-16 11:27
640-битных ключей хватит на всё!
"Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т..."
Отправлено Andrey Mitrofanov , 16-Авг-16 21:16
> 640-битных ключей хватит на всё!56-битных же.
"Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т..."
Отправлено Омский линуксоид 2 , 16-Авг-16 11:50
А эта новость не утка ли? Омские линуксоиды сомневаются.
"Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т..."
Отправлено Аноним , 16-Авг-16 12:52
Омским линуксойдам следует отдыхать перед занятиями и ил набираться
"Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т..."
Отправлено Вася , 16-Авг-16 13:45
А смысл? Их же не допустили к олимпиаде.
"Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т..."
Отправлено путукфд , 16-Авг-16 13:49
>и ил набираться ил уже набран.
"Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т..."
Отправлено A.Stahl , 16-Авг-16 14:41
А пирамиды построены?
"Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т..."
Отправлено Аноним , 16-Авг-16 16:38
К сожалению, современные пирамиды склонны к быстрому падению.
"Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т..."
Отправлено Аноним , 16-Авг-16 17:25
> К сожалению, современные пирамиды склонны к быстрому падению.Так для возведения желательно использовать камень, а не коричневую субстанцию.
"Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т..."
Отправлено Аноним , 16-Авг-16 12:16
Ну не бывает 32-битных криптографических хэшей. 220-битные ещё поверю.
"Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т..."
Отправлено Аноним , 16-Авг-16 14:06
слепки/фрагменты там упомниались 32-битные а не сам хэш. 32-битнымми там только crc быть может разве что ;) и что врятли и давно на 64 и 128-битный заменный даже в бытовухе )
"Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т..."
Отправлено Аноним , 16-Авг-16 13:03
Это crc32 что ли? а зачем это использовать? sha1 то уже не нужно использовать когда sha3 есть
"Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т..."
Отправлено Аноним , 16-Авг-16 13:05
похоже это sha1 0F6A 1465 32D8 69AE E438 F74B 6211 AA3B [0041 1886]а 0041 1886 это младший байты от sha1, ну значит собственно и новость о том что нужно переходить с sha1 на sha3!
"Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т..."
Отправлено Аноним , 16-Авг-16 13:27
И сюда добрались. Что же теперь будет?
"Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т..."
Отправлено Вася , 16-Авг-16 13:47
Теперь у них будет повод утверждать, что те или иные изменения были внесены злоумышленниками, в случае чего.
"Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т..."
Отправлено Тузя , 16-Авг-16 14:41
На дворе 21й век, люди в космос летают, а у них хеши SHA1. Срамота.
"Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т..."
Отправлено Аноним , 16-Авг-16 16:21
При верификации архивов рекомендуется проверять только полные 256-битовые слепки ключей, так как короткие 32-битовые слепки подвержены атаке через выявление коллизий.Это не зависит от того, sha1 там или sha3
"Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т..."
Отправлено robux , 16-Авг-16 17:12
> На дворе 21й век, люди в космос летают, а у них хеши
> SHA1. Срамота.Тузя не в силах отличить хэширование (для выявления изменений в файлах) от электронной подписи (для подтверждения содержимого файла).
Хотя для создания ЭЦП тоже используется хэширование, но я уверен, что Торвальдсовые ЭЦП содержат как минимум SHA256, а то и SHA512.
"Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т..."
Отправлено Тузя , 16-Авг-16 21:14
> но я уверен, что Торвальдсовые ЭЦП содержат как минимум SHA256, а то и SHA512.а я нет. Думаю, они содержат их как максимум + обратная совместимость.
> Тузя не в силах отличить хэширование (для выявления изменений в файлах) от электронной подписи (для подтверждения содержимого файла).
С точки зрения применения в силах.
С точки зрения формирования, мат. алгоритма и наличия возможности собрать систему подбора коллизий за вполне подъемную сумму денег... тут увы не в силах. Снизойдите, батенька, и объясните всё это тупому Тузе, но только техническим языком, без гуманитарных подробностей семантики использования sha1, типа ЕЦП != хеш.
P.S. Цифры в опубликованных ключах посчитайте. Их подбор на современных железках - вопрос времени. Мир должен тотально отказаться от sha1, как когда-то такое было с MD5.
"Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т..."
Отправлено sage , 16-Авг-16 17:46
В ~/.gnupg/gpg.conf добавьте:keyid-format long
"Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т..."
Отправлено Аноним , 16-Авг-16 19:11
BLAK2, SHA3 (Keccak)
"Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т..."
Отправлено Аноним , 16-Авг-16 20:17
Короткие идентификаторы (отпечатки, слепки, Short IDs) - зло в чистом виде. Условно говоря, применяется механизм контрольных сумм, разработанный для проверки ЦЕЛОСТНОСТИ ФАЙЛОВ, но никак не подходящий для АУТЕНТИФИКАЦИИ СУБЪЕКТА.
И сразу вопрос умникам из комментариев выше: Как вы с помощью алгоритма SHA-1 из полного ID получили короткий? Советую ещё поискать по теме: Evil 32, Scallion, 64-bit Short ID collision.
"Выявлен короткого PGP-Линуса"
Отправлено Andrey Mitrofanov , 16-Авг-16 22:23
> Короткие идентификаторы (отпечатки, слепки, Short IDs) - зло в чистом виде. Условно
> SHA-1 из полного ID получили короткий? Советую ещё поискать по теме: Спасибо.
> Evil 32, Scallion,
Нашлось. :)
А ещё https://lwn.net/Articles/689792/ (+комментарии внизу) и пр.
((2All: только у меня проблемы со ссылкой http://gwolf.org/node/4070 ??))
-> http://www.asheesh.org/note/debian/short-key-ids-are-bad-new...
http://www.enricozini.org/blog/2016/debian/verifying-gpg-keys/ --чего толькот не делают, лишь бы не...
http://debian-administration.org/users/dkg/weblog/116 &... for GnuPG in Debian:
The "modern" [=GnuPG 2.1] branch has:
[...]
* safer info representation (e.g. no more key IDs, fingerprints easier to copy-and-paste)
http://seclists.org/fulldisclosure/2010/May/120
http://seclists.org/oss-sec/2015/q2/581
---Сегодня в номере: сенсация! У Торвальдса есть gpg-ключ?!
...Короткие ИД? Короткие JPEG-и! https://blog.josefsson.org/2014/06/19/creating-a-small-jpeg-.../
"Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т..."
Отправлено Аноним , 16-Авг-16 20:41
Может генерировать вместо короткого текста то типу barcode ?
"Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т..."
Отправлено Andrey Mitrofanov , 16-Авг-16 21:27
> Может генерировать вместо короткого текста то типу barcode ?Может: полный публичный ключ(*) в виде QR-кода на бумажной визитке. https://gnunet.org/ybti2015videos
(*) .onion адрес тоже %) можно.
"Выявлен дубликат короткого идентификатора PGP-ключа Линуса Т..."
Отправлено Аноним , 17-Авг-16 00:12
> При верификации архивов рекомендуется проверять только полные 256-битовые слепки ключейНафига вообще проверять что-то руками, пусть это делает gpg --verify.