[ASLE] Mi Id de PGP ha sido clonado

Rafael Bonifaz rafael en asle.ec
Vie Jun 10 08:25:06 ECT 2016


Estimados,

Cuando se manda correos electrónicos cifrado se usa una tecnología que
se llama PGP como muchos ya saben. Esto genera una clave pública y una
clave privada. La clave pública suele sur un archivo bien grande que se
lo simplifica en a través de un hash más corto. El hash de mi clave
pública es:

993B 14BA 3933 DAAB CD1A 58CF E4A6 D8A2 5310 523C

Se suele abreviar aún más el hash y esto da como resultado el "key id":
En mi caso: 0x5310523C

Clonar el primer número y que coincida con una clave pública es
extremadamente difícil. Lograr que colisionen los 8 últimos caracteres
es menos complicado, pero para nada fácil. Alguien se dio el trabajo de
hacer eso con mi clave:

3CDB 099A 8CBF 7309 7544 9CBC 0779 5011 5310 523C

El key "id": 0x5310 523C

Algo interesante es que la clave se generó en 2014 y caducó en 2015.
Osea de momento no tiene validez, aunque el dueño de la clave podría
cambiar la fecha.

Lo que se podría hacer con esta clave es que alguien quiera hacerse
pasar como mi persona y se le mandé algún mensaje cifrado a el. En fin,
para los que usen PGP, hay que verificar el fingerprint completo, no el
key ID.

No soy el único, a Ola Bini también le pasó:
https://twitter.com/olabini/status/740231360514785280

Parece que RMS también:
https://pgp.mit.edu/pks/lookup?op=vindex&search=0x2574BF172A8E4C02

Lo importante es que siempre se verifique el fingerprint completo y no
solo el key id.

saludos


Rafael



More information about the Asociacion mailing list