如何让PGP短密钥ID免于碰撞攻击?
针对开发人员的碰撞攻击让我们发现Pretty Good Privacy(PGP)短ID的漏洞,该漏洞允许攻击者创建假ID密钥,这会给收件人解密或验证邮件制造问题。那么,这个漏洞的工作原理是什么,以及为什么短密钥ID会成为问题?
Michael Cobb:当为电子邮件、文档或文件创建哈希值或者消息摘要时,需要通过使用密码散列函数来生成内容的短数字指纹,这种数学算法会将任意大小的数据映射到短的固定长度值作为其唯一标识。哈希值被广泛用于安全的很多方面,例如数字签名和数据完整性检查,人们通常会精心选择散列函数以确保它们有较强的抗碰撞性--即两个不同的输入无法创建相同的散列值,因为攻击者的碰撞攻击会试图寻找具有相同散列值的两组不同数据片段。
而PGP是对消息或文件进行加密和数字签名的加密工具,PGP的用户会有公钥和私钥,公钥通常在密钥服务器发布。由于这些密钥都非常长(通常为1024至8096位),所以我们通常使用公钥的指纹或哈希值来标记密钥,让某些密钥管理工作更容易和更快速,例如验证属于其他用户的密钥或者验证证书颁发机构。然而,当转换为十六进制数字时指纹为40位,这对于人类来说仍然太长而难以使用,因此人们和很多应用仅使用指纹的最后八位数。这被称为短密钥ID--长ID是指指纹的最后16位数字。下面是例子:
指纹: 0D29 F56F 12BD BA07 7B37 15AB 851F 799A B4FF 1057
长ID: 851F 799A B4FF 1057
短ID: B4FF 1057
虽然现代密钥散列函数几乎不存在具有相同哈希值的两个输入,但两个哈希值最后八位数相同的几率还是很高。事实上,我们已经发现很多具有相同短密钥ID的欺骗性PGP密钥。
多年来,大家已经知道这种碰撞攻击成功的可能性。在2011年,软件工程师Asheesh Laroia有效证明了这种攻击的可行性,这个问题在“RFC 4880:OpenPGP Message Format”3.3章节中也有提及--“不应该假定密钥ID为唯一标识”。尽管如此,使用短密钥ID仍然是常见做法,并构成真正威胁,特别是当涉及文件下载的完整性时,例如Linux内核。
尽管PGP本身没有缺陷或漏洞,但使用短密钥ID基本上是不安全的糟糕做法。用户不应该信任比公共PGP密钥完整指纹更短的ID用于验证;密钥ID的目的是帮助搜索密钥,而不是验证它。用户和软件都需要开始显示和检查完整指纹,或者至少使用长ID。长密钥ID也可能存在碰撞,但可能性较小。软件开发人员应该明确编写或重新编写代码以包含整个指纹,毕竟云计算使得攻击者可为长密钥ID生成碰撞攻击。现在那些将PGP密钥短ID印在名片背面的PGP支持者们可能会想要增加指纹的前两位来帮助他人验证其密钥。
本文转自d1net(转载)
由于http协议是明文传输数据,数据的安全性没有保障。为了改进这种明文传输协议,https诞生了。 https是在应用层和传输层之间,增加了一层ssl加密。
相关文章
- (翻译)Attacking Interoperability(攻击互操作性)in Black Hat 2009 研究报告
- DVWA之DOM XSS(DOM型跨站脚本攻击)
- Magicodes.WeiChat——使用AntiXssAttribute阻止XSS(跨站脚本攻击)攻击
- 企业如何防止外部攻击和内部数据泄密?
- 利用FRIDA攻击Android应用程序(三)
- web渗透测试----25、跨站脚本攻击简介
- DDos攻击解决办法
- Burp Suite学习之Intruder的4种攻击模式
- 如何防止跨站点脚本攻击
- 浅析前端安全-如何防止CSRF攻击:csrf安全漏洞是什么、发生背景、常见攻击类型(get、post、链接)、csrf的防护策略(同源策略-origin/referer、CSRF Token、双重cookie验证、Samesite Cookie属性-严格/宽松模式区别)
- CSP内容安全策略总结及如何抵御 XSS 攻击
- mongodb如何做安全防护,避免被攻击删除 勒索威胁
- 蓝队攻击的四个阶段(四)
- 数学家解密如何抵御量子计算的攻击
- 如何能在遭遇勒索软件攻击时硬气地“拒绝支付”?
- 警惕!Linux Mint遭黑客“猴赛雷”攻击
- 如何发现“利用DNS放大攻击”的服务器
- [LeetCode] Teemo Attacking 提莫攻击
- 对抗勒索软件攻击 CryptoDrop系统亮相