« edellinen seuraava »
Sivuja: [1]   Siirry alas

Kirjoittaja Aihe: evil32 -- asiaa GPG avaimista ja niiden turvallisuudesta  (Luettu 3387 kertaa)

matsukan

  • Käyttäjä
  • Viestejä: 2152
    • Profiili
evil32 -- asiaa GPG avaimista ja niiden turvallisuudesta
« : 25.08.16 - klo:13.49 »

https://evil32.com/

Evil 32: Check Your GPG Fingerprints

32bit key ids are not secure

32bit key tunnisteet eivät ole turvallisia - enään.


Kirjattu
Pohjois-pohjanmaa
-- motto:  backupin tarve huomataan aina liian myöhään

AimoE

  • Käyttäjä
  • Viestejä: 2782
    • Profiili
Vs: evil32 -- asiaa GPG avaimista ja niiden turvallisuudesta
« Vastaus #1 : 25.08.16 - klo:14.36 »
Kirjattu

matsukan

  • Käyttäjä
  • Viestejä: 2152
    • Profiili
Vs: evil32 -- asiaa GPG avaimista ja niiden turvallisuudesta
« Vastaus #2 : 25.08.16 - klo:21.36 »

Katsoin päiväyksiä, tuo evil32 sivusto on vuodelta 2014 ja stackexchane kysymys 2015. Viestintävirasto ilmoitti siitä vasta tänään.
Kirjattu
Pohjois-pohjanmaa
-- motto:  backupin tarve huomataan aina liian myöhään

nm

  • Käyttäjä
  • Viestejä: 16430
    • Profiili
Vs: evil32 -- asiaa GPG avaimista ja niiden turvallisuudesta
« Vastaus #3 : 26.08.16 - klo:00.21 »
Lainaus käyttäjältä: matsukan - 25.08.16 - klo:21.36

Katsoin päiväyksiä, tuo evil32 sivusto on vuodelta 2014 ja stackexchane kysymys 2015. Viestintävirasto ilmoitti siitä vasta tänään.

Uusia käänteitä, joiden vuoksi asia on ajankohtainen. Viestintäviraston artikkelissa tämä on kyllä selitetty yksityiskohtaisesti: https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvanyt/2016/08/ttn201608220838.html

Lainaus
Julkisille avainpalvelimille on ladattu esimerkiksi väärennettyjä Linux-kehittäjien julkisia avaimia. Väärennettyjen avainten lyhyt avaintunniste on sama kuin aitojen avainten ja niihin on asetettu samat omistajatiedot kuin alkuperäisissä julkisissa avaimissa on (nimi ja sähköposti). Tämä on voinut johtaa tilanteeseen, että viestejä on salattu väärillä julkisilla avaimilla, jolloin tarkoitettu vastaanottaja ei niitä pysty purkamaan. Toinen mahdollinen väärinkäyttötapaus on ollut viestien digitaallinen allekirjoittaminen, jossa väärennetyn avaimen luoja on voinut teeskennellä olevansa toinen henkilö. Linux-kehittäjien tapauksessa voidaan päätyä tilanteeseen, että väärennetyn avaimen luoja allekirjoittaa itse luomiaan haitallisia ohjelmakomponentteja ja huijaa käyttäjiä näin asentamaan haitallisia ohjelmistoja.

Väärennetyt PGP-avaimet eivät ole uusi ongelma. Esimerkiksi vuonna 2014 julkaistiin suuri määrä avaimia ja allekirjoituksia, joissa lyhyt avaintunniste oli vastaava kuin aidoissa mutta itse avaimet olivat kuitenkin vääriä. Nyt vaikuttaa siltä, että väärennetyt avaimet ovat löytäneet tiensä julkisille avainpalvelimille.
« Viimeksi muokattu: 26.08.16 - klo:00.25 kirjoittanut nm »
Kirjattu
Sivuja: [1]   Siirry ylös
« edellinen seuraava »