The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

16.08.2016 10:30  Выявлен дубликат короткого идентификатора PGP-ключа Линуса Торвальдса

Для верификации загрузки архивов с выпусками ядра Linux вместо общей централизованной цифровой подписи каждое ядро снабжено персональной PGP-подписью лица, сформировавшего релиз. Как правило, это Линус Торвальдс или Грег Кроа-Хартман. В списке рассылки разработчиков ядра Linux опубликовано предупреждение о выявлении фиктивных ключей Линуса Торвальдса и Грега Кроа-Хартмана, короткие 8-символьные идентификаторы которых совпадают с реальными ключами Линуса и Грега.

При верификации архивов рекомендуется проверять только полные 256-битовые слепки ключей, так как короткие 32-битовые слепки подвержены атаке через выявление коллизий. Начиная с июня наблюдается всплеск появления фиктивных ключей - в публичных серверах хранения ключей стали появляться ключи с ФИО и email известных разработчиков, короткий идентификатор которых совпадает с реальными ключами данных разработчиков.

Linus Torvalds:

  • Поддельный ключ: 0F6A 1465 32D8 69AE E438 F74B 6211 AA3B [0041 1886]
  • Нормальный ключ: ABAF 11C6 5A29 70B1 30AB E3C4 79BE 3E43 [0041 1886]

    Greg Kroah-Hartman:

  • Поддельный ключ: 497C 48CE 16B9 26E9 3F49 6301 2736 5DEA [6092 693E]
  • Нормальный ключ: 647F 2865 4894 E3BD 4571 99BE 38DB BDC8 [6092 693E]

    1. Главная ссылка к новости (https://lkml.org/lkml/2016/8/1...)
    2. OpenNews: Доступен проект Phuctor, коллайдер RSA-ключей
    3. OpenNews: Возможность встраивания бэкдора в нестандартные реализации SHA-1
    4. OpenNews: До конца года ожидается появление практических атак по подбору коллизий для SHA-1
    5. OpenNews: Новая атака SLOTH, затрагивающая протоколы TLS 1.2, SSH и IKE/IPsec с MD5 и SHA-1
    Лицензия: CC-BY
    Тип: К сведению
    Ключевые слова: pgp
    При перепечатке указание ссылки на opennet.ru обязательно
    Обсуждение Ajax/Линейный | Показать все | RSS
     
  • 1.1, commiethebeastie, 11:08, 16/08/2016 [ответить] [смотреть все]    [к модератору]
  • +23 +/
    Да неудивительно, 8 цифр, вероятность коллизии огромная.
     
     
  • 2.3, Аноним, 11:32, 16/08/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]
  • –13 +/
    Таки не цифр.
     
     
  • 3.6, iv, 11:46, 16/08/2016 [^] [ответить] [смотреть все]    [к модератору]
  • +24 +/
    > Таки не цифр.

    С каких это пор шестнадцатиричные цифры не цифры?

     
     
  • 4.10, Ананизмус, 12:17, 16/08/2016 [^] [ответить] [смотреть все]     [к модератору]
  • –14 +/
    Тут видимо имеется в виду что цифры это 0-9, а все остальное это числа темболее ... весь текст скрыт [показать]
     
     
  • 5.11, A.Stahl, 12:32, 16/08/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +18 +/
    Это с какой стати? D это вполне себе шестнадцатеричная цифра. И F тоже цифра.
     
     
  • 6.31, Azaza, 16:15, 16/08/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • –6 +/
    Символ алфавита будет корректнее,не? Цифры же суть символы алфавита.
     
     
  • 7.45, Аноним, 18:49, 16/08/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Кому ты это объясняешь Здесь гуманитариев нет и число от цифры или буквы никто ... весь текст скрыт [показать]
     
     
  • 8.48, rob pike, 19:52, 16/08/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Не-гуманитарий как раз согласился бы с тем что цифры суть символы некоторого алф... весь текст скрыт [показать]
     
     
  • 9.51, Azaza, 20:01, 16/08/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    См мой коммент ниже в этой ветке.
     
  • 9.61, Аноним, 07:30, 17/08/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    Наоборот, для гуманитариев это очевидно, они то в языках получше разбираются Вы... весь текст скрыт [показать]
     
  • 7.47, Аноним, 19:23, 16/08/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    нет. Потому что их гораздо больше чем шестнадцатеричных цифр.
     
     
  • 8.49, Azaza, 19:58, 16/08/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Таки можно шестнадцатеричное число называть символом шестнадцатеричного алфавита... весь текст скрыт [показать]
     
  • 8.52, Azaza, 20:05, 16/08/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    В шестнадцатеричном алфавите - 16 символов, по аналогии с бинарным, в котором 2 ... весь текст скрыт [показать]
     
  • 5.12, Мимокрокодил, 12:37, 16/08/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • –9 +/
    Цифра это знак обозначающий число.
     
     
  • 6.13, snmp agent, 12:41, 16/08/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    Шестнадцатеричные цифры
    https://ru.wikipedia.org/wiki/Цифры
     
  • 6.18, АнонимХ, 13:16, 16/08/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Как на счет шестнадцатеричного числа?
     
     
  • 7.44, ANONYM, 18:32, 16/08/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    Хеши не являются числами, в том смысле, в котором используются числа Значение х... весь текст скрыт [показать]
     
     
  • 8.50, Аноним, 20:01, 16/08/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Почти все хеши в современной электронике являются результатом множества целочисл... весь текст скрыт [показать]
     
  • 6.32, ымыныны, 16:16, 16/08/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    может, в новом учебном году узнаешь об этом.
     
  • 4.20, Вася, 13:44, 16/08/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +3 +/
    С тех самых пор, как пан выше не осилил дао шестнадцатиричного исчисления.
     
     
  • 5.24, A.Stahl, 14:02, 16/08/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ну нихрена себе А когда я был маленький и учился в школе, то арифметика считала... весь текст скрыт [показать]
     
  • 4.34, Аноним, 16:37, 16/08/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Не ссорьтесь, горячие парни Цифра - это один символ, а число - совокупность циф... весь текст скрыт [показать]
     
  • 3.37, robux, 17:08, 16/08/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Неудивительно, 4 байта - вероятность коллизии огромная - вот как он должен бы... весь текст скрыт [показать]
     
     
  • 4.41, ЖоБэ, 17:43, 16/08/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Неудивительно, 4 восьмибитных слова - вероятность коллизии огромная - очевидн... весь текст скрыт [показать]
     
  • 2.62, fi, 16:31, 17/08/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • –1 +/
    каких 8-м ??? там hex от 4 байт - 32 бита!!!

     
  • 1.2, HIMEM.SYS, 11:27, 16/08/2016 [ответить] [смотреть все]    [к модератору]  
  • +10 +/
    640-битных ключей хватит на всё!
     
     
  • 2.57, Andrey Mitrofanov, 21:16, 16/08/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    > 640-битных ключей хватит на всё!

    56-битных же.

     
  • 1.7, Омский линуксоид 2, 11:50, 16/08/2016 [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    А эта новость не утка ли? Омские линуксоиды сомневаются.
     
     
  • 2.15, Аноним, 12:52, 16/08/2016 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +4 +/
    Омским линуксойдам следует отдыхать перед занятиями и ил набираться
     
     
  • 3.21, Вася, 13:45, 16/08/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    А смысл? Их же не допустили к олимпиаде.
     
  • 3.23, путукфд, 13:49, 16/08/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +4 +/
    >и ил набираться

    ил уже набран.

     
     
  • 4.27, A.Stahl, 14:41, 16/08/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    А пирамиды построены?
     
     
  • 5.35, Аноним, 16:38, 16/08/2016 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    К сожалению, современные пирамиды склонны к быстрому падению.
     
     
  • 6.40, Аноним, 17:25, 16/08/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Так для возведения желательно использовать камень, а не коричневую субстанцию ... весь текст скрыт [показать]
     
  • 1.9, Аноним, 12:16, 16/08/2016 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Ну не бывает 32-битных криптографических хэшей. 220-битные ещё поверю.
     
     
  • 2.25, Аноним, 14:06, 16/08/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    слепки фрагменты там упомниались 32-битные а не сам хэш 32-битнымми там только ... весь текст скрыт [показать] [показать ветку]
     
  • 1.16, Аноним, 13:03, 16/08/2016 [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Это crc32 что ли а зачем это использовать sha1 то уже не нужно использовать ко... весь текст скрыт [показать]
     
     
  • 2.17, Аноним, 13:05, 16/08/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    похоже это sha1 0F6A 1465 32D8 69AE E438 F74B 6211 AA3B 0041 1886 а 0041 1886 ... весь текст скрыт [показать] [показать ветку]
     
  • 1.19, Аноним, 13:27, 16/08/2016 [ответить] [смотреть все]    [к модератору]  
  • +/
    И сюда добрались. Что же теперь будет?
     
     
  • 2.22, Вася, 13:47, 16/08/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Теперь у них будет повод утверждать, что те или иные изменения были внесены злоу... весь текст скрыт [показать] [показать ветку]
     
  • 1.26, Тузя, 14:41, 16/08/2016 [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    На дворе 21й век, люди в космос летают, а у них хеши SHA1. Срамота.
     
     
  • 2.33, Аноним, 16:21, 16/08/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    При верификации архивов рекомендуется проверять только полные 256-битовые слепки... весь текст скрыт [показать] [показать ветку]
     
  • 2.39, robux, 17:12, 16/08/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    Тузя не в силах отличить хэширование для выявления изменений в файлах от элект... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.56, Тузя, 21:14, 16/08/2016 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    а я нет Думаю, они содержат их как максимум обратная совместимость С точки ... весь текст скрыт [показать]
     
  • 1.42, sage, 17:46, 16/08/2016 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    В ~/.gnupg/gpg.conf добавьте:

    keyid-format long

     
  • 1.46, Аноним, 19:11, 16/08/2016 [ответить] [смотреть все]    [к модератору]  
  • +/
    BLAK2, SHA3 (Keccak)
     
  • 1.53, Аноним, 20:17, 16/08/2016 [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Короткие идентификаторы отпечатки, слепки, Short IDs - зло в чистом виде Усло... весь текст скрыт [показать]
     
     
  • 2.59, Andrey Mitrofanov, 22:23, 16/08/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Спасибо Нашлось А ещё B https lwn net Articles 689792 B комментар... весь текст скрыт [показать] [показать ветку]
     
  • 1.54, Аноним, 20:41, 16/08/2016 [ответить] [смотреть все]    [к модератору]  
  • +/
    Может генерировать вместо короткого текста то типу barcode ?
     
     
  • 2.58, Andrey Mitrofanov, 21:27, 16/08/2016 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Может полный публичный ключ в виде QR-кода на бумажной визитке https gnu... весь текст скрыт [показать] [показать ветку]
     
  • 1.60, Аноним, 00:12, 17/08/2016 [ответить] [смотреть все]     [к модератору]  
  • +/
    Нафига вообще проверять что-то руками, пусть это делает gpg --verify ... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor