Re: [Lista Criptica] Colisió d'empremptes en GPG

Delete this message

Reply to this message
Autor: drymer
Data:  
A: Criptica - Llista de debat
Assumpte: Re: [Lista Criptica] Colisió d'empremptes en GPG
Si, jo tambè he vist diferencies. Imagino que pot dependre tan del gpg.conf que es tingui com si es fa servir gpg2. Tambè s'ha de tenir en compte que la major part de gent fa servir algun programa que no sigui de terminal, com enigmail.

On Mon, Sep 26, 2016 at 10:29:14PM +0200, Jaumet wrote:
>No se si serà per la versió o la configuració meua, però a mi gpg per
>defecte em treu l'emprempta sencera
>
>gpg --list-keys tails
>--------------------------------
>pub   rsa4096 2015-01-18 [C] [expires: 2017-01-11]
>      A490D0F4D311A4153E2BB7CADBB802B258ACD84F
>uid           [ unknown] Tails developers (offline long-term identity
>key) <tails@???>
>uid           [ unknown] Tails developers <tails@???>
>sub   rsa4096 2015-01-18 [S] [expires: 2017-01-11]
>sub   rsa4096 2015-01-18 [S] [expires: 2017-01-11]
>
>El dl 26 de 09 de 2016 a les 17:52 +0200, en/na drymer va escriure:
>> Rectifico una cosa, es més adient compartir amb l'ID llarg i
>> comprovar que es la signature correcte després. L'id llarg es pot
>> veure amb gpg2 --keyid-format 0xlong --list-key <correu>
>>
>> On Mon, Sep 26, 2016 at 05:43:50PM +0200, drymer wrote:
>> >
>> > No es un tema nou, pero no està molt extés, així que potser no està
>> > de més parlar-ne. Hi ha un problema amb GPG i es que les id curtes
>> > son crackejables en cuant a que es fàcil emular l'ID curt. L'ID
>> > curt, posant d'exemple l'article al que enllaço al final, es el
>> > següent:
>> >
>> > gpg2 --list-keys --fingerprint arne.babenhauserheide
>> > -------------------------------
>> > pub   2048R/A70DA09E 2011-10-07 [expires: 2016-10-05]
>> > uid                  Arne Babenhauserheide <arne.babenhauserheide@k
>> > it.edu>
>> >
>> > pub   2048R/A70DA09E 2014-06-16 [revoked: 2016-08-16]
>> > uid                  Arne Babenhauserheide <arne.babenhauserheide@k
>> > it.edu>
>> >
>> > L'ID curt es 2048R/A70DA09E. Amb un cop d'ull es veu el problema,
>> > els ID son els mateixos. La primera clau es la bona, la segona una
>> > falsejada.
>> >
>> > Quin es el problema exactament? Per a que sigui un problema real
>> > s'hauria de cumplir el següent escenari, en el cas de que algú
>> > volgués enviar un correu a aquella persona:
>> > - Escull la clau incorrecte
>> > - El correu d'Arne Babenhauserheide està segrestat o li han fet un
>> > MiTM
>> >
>> > El segon punt es força complicat que de cumplir. Però bè, com
>> > s'evitaria? La forma més evident es no compartir _mai_ l'ID curt de
>> > la nostra clau GPG, sinó l'emprempte llarga. Aquesta seria, seguint
>> > l'exemple anterior:
>> >
>> > gpg2 --list-keys --fingerprint arne
>> > pub   2048R/A70DA09E 2011-10-07 [verfällt: 2021-08-28]
>> > Schl.-Fingerabdruck = DC44 49A9 A0C9 9632 9897  1842 5C83 F364 A70D
>> > A09E
>> > uid       [ uneing.] Arne Babenhauserheide <arne.babenhauserheide@k
>> > it.edu>
>> > sub   2048R/39829E5F 2011-10-07 [verfällt: 2021-08-28]
>> >
>> > "DC44 49A9 A0C9 9632 9897  1842 5C83 F364 A70D A09E" seria
>> > l'emprempta. L'altre forma seria verificar les firmes d'altres
>> > persones, pero potser es una mica més complex.
>> >
>> > Font: http://www.draketo.de/english/gnupg-attack
>>
>>
>>
>> >
>> > _______________________________________________
>> > list_criptica mailing list
>> > list_criptica@???
>> > Lista de correo de debate de Criptica
>> _______________________________________________
>> list_criptica mailing list
>> list_criptica@???
>> Lista de correo de debate de Criptica
>_______________________________________________
>list_criptica mailing list
>list_criptica@???
>Lista de correo de debate de Criptica