Re: [Lista Criptica] Colisió d'empremptes en GPG

Delete this message

Reply to this message
Autor: Alex Antener
Data:  
A: Criptica - Llista de debat
Assumpte: Re: [Lista Criptica] Colisió d'empremptes en GPG
Exactly. - The keys
0x5C83F364A70DA09E
and
0xEA32F8E6A70DA09E
are not the same. - But what a nice "coincidence" 8-)

Best, Lix

--
Lx // 40AD 1EA7 F945 D307 7CB0 2783 3D83 4D8D 18F8 0934
"so long and thanks for all the fish"

On Mon, Sep 26, 2016 at 05:52:06PM +0200, drymer wrote:
> Rectifico una cosa, es més adient compartir amb l'ID llarg i comprovar que es la signature correcte després. L'id llarg es pot veure amb gpg2 --keyid-format 0xlong --list-key <correu>
>
> On Mon, Sep 26, 2016 at 05:43:50PM +0200, drymer wrote:
> > No es un tema nou, pero no està molt extés, així que potser no està de més parlar-ne. Hi ha un problema amb GPG i es que les id curtes son crackejables en cuant a que es fàcil emular l'ID curt. L'ID curt, posant d'exemple l'article al que enllaço al final, es el següent:
> >
> > gpg2 --list-keys --fingerprint arne.babenhauserheide
> > -------------------------------
> > pub   2048R/A70DA09E 2011-10-07 [expires: 2016-10-05]
> > uid                  Arne Babenhauserheide <arne.babenhauserheide@???>

> >
> > pub   2048R/A70DA09E 2014-06-16 [revoked: 2016-08-16]
> > uid                  Arne Babenhauserheide <arne.babenhauserheide@???>

> >
> > L'ID curt es 2048R/A70DA09E. Amb un cop d'ull es veu el problema, els ID son els mateixos. La primera clau es la bona, la segona una falsejada.
> >
> > Quin es el problema exactament? Per a que sigui un problema real s'hauria de cumplir el següent escenari, en el cas de que algú volgués enviar un correu a aquella persona:
> > - Escull la clau incorrecte
> > - El correu d'Arne Babenhauserheide està segrestat o li han fet un MiTM
> >
> > El segon punt es força complicat que de cumplir. Però bè, com s'evitaria? La forma més evident es no compartir _mai_ l'ID curt de la nostra clau GPG, sinó l'emprempte llarga. Aquesta seria, seguint l'exemple anterior:
> >
> > gpg2 --list-keys --fingerprint arne
> > pub   2048R/A70DA09E 2011-10-07 [verfällt: 2021-08-28]
> > Schl.-Fingerabdruck = DC44 49A9 A0C9 9632 9897  1842 5C83 F364 A70D A09E
> > uid       [ uneing.] Arne Babenhauserheide <arne.babenhauserheide@???>
> > sub   2048R/39829E5F 2011-10-07 [verfällt: 2021-08-28]

> >
> > "DC44 49A9 A0C9 9632 9897 1842 5C83 F364 A70D A09E" seria l'emprempta. L'altre forma seria verificar les firmes d'altres persones, pero potser es una mica més complex.
> >
> > Font: http://www.draketo.de/english/gnupg-attack
>
>
>
> > _______________________________________________
> > list_criptica mailing list
> > list_criptica@???
> > Lista de correo de debate de Criptica




> _______________________________________________
> list_criptica mailing list
> list_criptica@???
> Lista de correo de debate de Criptica