[ASLE] Mi Id de PGP ha sido clonado

Rafael Bonifaz rafael en asle.ec
Vie Jun 10 08:42:07 ECT 2016


¿Alguien tiene una idea de que tan complicado puede ser llegar a generar
esa colisión?

El 10/06/16 a las 10:25, Rafael Bonifaz escribió:
> Estimados,
>
> Cuando se manda correos electrónicos cifrado se usa una tecnología que
> se llama PGP como muchos ya saben. Esto genera una clave pública y una
> clave privada. La clave pública suele sur un archivo bien grande que se
> lo simplifica en a través de un hash más corto. El hash de mi clave
> pública es:
>
> 993B 14BA 3933 DAAB CD1A 58CF E4A6 D8A2 5310 523C
>
> Se suele abreviar aún más el hash y esto da como resultado el "key id":
> En mi caso: 0x5310523C
>
> Clonar el primer número y que coincida con una clave pública es
> extremadamente difícil. Lograr que colisionen los 8 últimos caracteres
> es menos complicado, pero para nada fácil. Alguien se dio el trabajo de
> hacer eso con mi clave:
>
> 3CDB 099A 8CBF 7309 7544 9CBC 0779 5011 5310 523C
>
> El key "id": 0x5310 523C
>
> Algo interesante es que la clave se generó en 2014 y caducó en 2015.
> Osea de momento no tiene validez, aunque el dueño de la clave podría
> cambiar la fecha.
>
> Lo que se podría hacer con esta clave es que alguien quiera hacerse
> pasar como mi persona y se le mandé algún mensaje cifrado a el. En fin,
> para los que usen PGP, hay que verificar el fingerprint completo, no el
> key ID.
>
> No soy el único, a Ola Bini también le pasó:
> https://twitter.com/olabini/status/740231360514785280
>
> Parece que RMS también:
> https://pgp.mit.edu/pks/lookup?op=vindex&search=0x2574BF172A8E4C02
>
> Lo importante es que siempre se verifique el fingerprint completo y no
> solo el key id.
>
> saludos
>
>
> Rafael
>
> _______________________________________________
> Lista de Correo Asociacion en listas.asle.ec
> Visite http://listas.asle.ec/mailman/listinfo/asociacion
> para modificar las opciones de suscripción (suscribirse, retirarse, etc).
>
> Participa en las listas y próximo foro, como socio de ASLE http://www.asle.ec/portal2/node/7
>
> Visita el canal IRC #asle en irc.freenode.org para consultas en tiempo real.
>
> Todo mensaje que sea enviado a esta lista es público (especialmente los que contengan una nota de confidencialidad) y cualquiera puede hacer el uso que desee de él.
>



More information about the Asociacion mailing list