[ASLE] Mi Id de PGP ha sido clonado

juancristobal juancristobal en gmail.com
Vie Jun 10 09:43:59 ECT 2016


El HASH es un one-way, como el crc que se usa para validar bloques de 
comunicaciones.

No estoy seguro, creo que en bloques de largos variables el riesgo de 
colision es mas alto que en bloques de largo fijo.

Tambien interviene el largo del bloque.

No se si hay algoritmos matematicos que manejen relaciones de 
probabilidad, o si se clonan a fuerza bruta.

Lamento de no ser de mas ayuda


On 6/10/16 08:42, Rafael Bonifaz wrote:
> ¿Alguien tiene una idea de que tan complicado puede ser llegar a generar
> esa colisión?
>
> El 10/06/16 a las 10:25, Rafael Bonifaz escribió:
>> Estimados,
>>
>> Cuando se manda correos electrónicos cifrado se usa una tecnología que
>> se llama PGP como muchos ya saben. Esto genera una clave pública y una
>> clave privada. La clave pública suele sur un archivo bien grande que se
>> lo simplifica en a través de un hash más corto. El hash de mi clave
>> pública es:
>>
>> 993B 14BA 3933 DAAB CD1A 58CF E4A6 D8A2 5310 523C
>>
>> Se suele abreviar aún más el hash y esto da como resultado el "key id":
>> En mi caso: 0x5310523C
>>
>> Clonar el primer número y que coincida con una clave pública es
>> extremadamente difícil. Lograr que colisionen los 8 últimos caracteres
>> es menos complicado, pero para nada fácil. Alguien se dio el trabajo de
>> hacer eso con mi clave:
>>
>> 3CDB 099A 8CBF 7309 7544 9CBC 0779 5011 5310 523C
>>
>> El key "id": 0x5310 523C
>>
>> Algo interesante es que la clave se generó en 2014 y caducó en 2015.
>> Osea de momento no tiene validez, aunque el dueño de la clave podría
>> cambiar la fecha.
>>
>> Lo que se podría hacer con esta clave es que alguien quiera hacerse
>> pasar como mi persona y se le mandé algún mensaje cifrado a el. En fin,
>> para los que usen PGP, hay que verificar el fingerprint completo, no el
>> key ID.
>>
>> No soy el único, a Ola Bini también le pasó:
>> https://twitter.com/olabini/status/740231360514785280
>>
>> Parece que RMS también:
>> https://pgp.mit.edu/pks/lookup?op=vindex&search=0x2574BF172A8E4C02
>>
>> Lo importante es que siempre se verifique el fingerprint completo y no
>> solo el key id.
>>
>> saludos
>>
>>
>> Rafael
>>
>> _______________________________________________
>> Lista de Correo Asociacion en listas.asle.ec
>> Visite http://listas.asle.ec/mailman/listinfo/asociacion
>> para modificar las opciones de suscripción (suscribirse, retirarse, etc).
>>
>> Participa en las listas y próximo foro, como socio de ASLE http://www.asle.ec/portal2/node/7
>>
>> Visita el canal IRC #asle en irc.freenode.org para consultas en tiempo real.
>>
>> Todo mensaje que sea enviado a esta lista es público (especialmente los que contengan una nota de confidencialidad) y cualquiera puede hacer el uso que desee de él.
>>
> _______________________________________________
> Lista de Correo Asociacion en listas.asle.ec
> Visite http://listas.asle.ec/mailman/listinfo/asociacion
> para modificar las opciones de suscripción (suscribirse, retirarse, etc).
>
> Participa en las listas y próximo foro, como socio de ASLE http://www.asle.ec/portal2/node/7
>
> Visita el canal IRC #asle en irc.freenode.org para consultas en tiempo real.
>
> Todo mensaje que sea enviado a esta lista es público (especialmente los que contengan una nota de confidencialidad) y cualquiera puede hacer el uso que desee de él.

-- 
Juan Cristobal Lopez Arrieta
Cel +593 959782164
Tel +593 23805928



More information about the Asociacion mailing list