Re: [Lista Criptica] Colisió d'empremptes en GPG

Delete this message

Reply to this message
Autor: Jaumet
Data:  
Para: Criptica - Llista de debat
Assunto: Re: [Lista Criptica] Colisió d'empremptes en GPG
No se si serà per la versió o la configuració meua, però a mi gpg per
defecte em treu l'emprempta sencera

gpg --list-keys tails
--------------------------------
pub   rsa4096 2015-01-18 [C] [expires: 2017-01-11]
      A490D0F4D311A4153E2BB7CADBB802B258ACD84F
uid           [ unknown] Tails developers (offline long-term identity
key) <tails@???>
uid           [ unknown] Tails developers <tails@???>
sub   rsa4096 2015-01-18 [S] [expires: 2017-01-11]
sub   rsa4096 2015-01-18 [S] [expires: 2017-01-11]

El dl 26 de 09 de 2016 a les 17:52 +0200, en/na drymer va escriure:
> Rectifico una cosa, es més adient compartir amb l'ID llarg i
> comprovar que es la signature correcte després. L'id llarg es pot
> veure amb gpg2 --keyid-format 0xlong --list-key <correu>
>
> On Mon, Sep 26, 2016 at 05:43:50PM +0200, drymer wrote:
> >
> > No es un tema nou, pero no està molt extés, així que potser no està
> > de més parlar-ne. Hi ha un problema amb GPG i es que les id curtes
> > son crackejables en cuant a que es fàcil emular l'ID curt. L'ID
> > curt, posant d'exemple l'article al que enllaço al final, es el
> > següent:
> >
> > gpg2 --list-keys --fingerprint arne.babenhauserheide
> > -------------------------------
> > pub   2048R/A70DA09E 2011-10-07 [expires: 2016-10-05]
> > uid                  Arne Babenhauserheide <arne.babenhauserheide@k
> > it.edu>
> >
> > pub   2048R/A70DA09E 2014-06-16 [revoked: 2016-08-16]
> > uid                  Arne Babenhauserheide <arne.babenhauserheide@k
> > it.edu>
> >
> > L'ID curt es 2048R/A70DA09E. Amb un cop d'ull es veu el problema,
> > els ID son els mateixos. La primera clau es la bona, la segona una
> > falsejada.
> >
> > Quin es el problema exactament? Per a que sigui un problema real
> > s'hauria de cumplir el següent escenari, en el cas de que algú
> > volgués enviar un correu a aquella persona:
> > - Escull la clau incorrecte
> > - El correu d'Arne Babenhauserheide està segrestat o li han fet un
> > MiTM
> >
> > El segon punt es força complicat que de cumplir. Però bè, com
> > s'evitaria? La forma més evident es no compartir _mai_ l'ID curt de
> > la nostra clau GPG, sinó l'emprempte llarga. Aquesta seria, seguint
> > l'exemple anterior:
> >
> > gpg2 --list-keys --fingerprint arne
> > pub   2048R/A70DA09E 2011-10-07 [verfällt: 2021-08-28]
> > Schl.-Fingerabdruck = DC44 49A9 A0C9 9632 9897  1842 5C83 F364 A70D
> > A09E
> > uid       [ uneing.] Arne Babenhauserheide <arne.babenhauserheide@k
> > it.edu>
> > sub   2048R/39829E5F 2011-10-07 [verfällt: 2021-08-28]
> >
> > "DC44 49A9 A0C9 9632 9897  1842 5C83 F364 A70D A09E" seria
> > l'emprempta. L'altre forma seria verificar les firmes d'altres
> > persones, pero potser es una mica més complex.
> >
> > Font: http://www.draketo.de/english/gnupg-attack
>
>
>
> >
> > _______________________________________________
> > list_criptica mailing list
> > list_criptica@???
> > Lista de correo de debate de Criptica
> _______________________________________________
> list_criptica mailing list
> list_criptica@???
> Lista de correo de debate de Criptica