Обнаружены поддельные ключи Линуса Торвальдса и других разработчиков Linux

Обнаружены поддельные ключи Линуса Торвальдса и других разработчиков Linux

Инцидент подтверждает необходимость использовать только полные 256-битовые отпечатки ключей.

Проблема коротких идентификаторов ключей PGP снова появилась на повестке дня после обнаружения поддельных ключей Линуса Торвальдса (Linus Torvalds), Грега Кроа-Хартмана (Greg Kroah-Hartman) и других разработчиков ядра Linux.

«Хорошо известно, что PGP уязвимо к атакам через выявление коллизий, и множество экспериментов подтверждают это. Тем не менее, в июне начались реальные атаки. Некоторые разработчики обнаружили на серверах ключей подделки своих ключей с теми же именами, электронными адресами и даже «теми же» подписями для генерирования еще большего числа поддельных ключей», - сообщается в мейлинг-листе для разработчиков ядра Linux.

Для верификации загрузки архивов с релизами ядра Linux каждое ядро получает PGP-подпись ответственного за его выпуск разработчика (как правило, Торвальдса или Кроа-Хартмана). Короткие 8-символьные идентификаторы обнаруженных поддельных ключей совпадают с настоящими ключами Торвальдса и Кроа-Хартмана, поэтому для верификации лучше проверять полные 256-битовые отпечатки ключей, а не короткие.

Поддельный ключ Торвальдса выглядит следующим образом: 0F6A 1465 32D8 69AE E438 F74B 6211 AA3B [0041 1886]. Настоящий ключ: ABAF 11C6 5A29 70B1 30AB E3C4 79BE 3E43 [0041 1886]. Поддельный ключ Кроа-Хартмана: 497C 48CE 16B9 26E9 3F49 6301 2736 5DEA [6092 693E] Настоящий ключ: 647F 2865 4894 E3BD 4571 99BE 38DB BDC8 [6092 693E].

Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!

Подписаться