如何讓PGP短密鑰ID免于碰撞攻擊?

責(zé)任編輯:jackye

作者:Michael Cobb

2017-01-16 09:39:01

摘自:TechTarget中國(guó)

針對(duì)開發(fā)人員的碰撞攻擊讓我們發(fā)現(xiàn)Pretty Good Privacy(PGP)短ID的漏洞,該漏洞允許攻擊者創(chuàng)建假ID密鑰,這會(huì)給收件人解密或驗(yàn)證郵件制造問題

針對(duì)開發(fā)人員的碰撞攻擊讓我們發(fā)現(xiàn)Pretty Good Privacy(PGP)短ID的漏洞,該漏洞允許攻擊者創(chuàng)建假ID密鑰,這會(huì)給收件人解密或驗(yàn)證郵件制造問題。那么,這個(gè)漏洞的工作原理是什么,以及為什么短密鑰ID會(huì)成為問題?

Michael Cobb:當(dāng)為電子郵件、文檔或文件創(chuàng)建哈希值或者消息摘要時(shí),需要通過使用密碼散列函數(shù)來生成內(nèi)容的短數(shù)字指紋,這種數(shù)學(xué)算法會(huì)將任意大小的數(shù)據(jù)映射到短的固定長(zhǎng)度值作為其唯一標(biāo)識(shí)。哈希值被廣泛用于安全的很多方面,例如數(shù)字簽名和數(shù)據(jù)完整性檢查,人們通常會(huì)精心選擇散列函數(shù)以確保它們有較強(qiáng)的抗碰撞性--即兩個(gè)不同的輸入無法創(chuàng)建相同的散列值,因?yàn)楣粽叩呐鲎补魰?huì)試圖尋找具有相同散列值的兩組不同數(shù)據(jù)片段。

而PGP是對(duì)消息或文件進(jìn)行加密和數(shù)字簽名的加密工具,PGP的用戶會(huì)有公鑰和私鑰,公鑰通常在密鑰服務(wù)器發(fā)布。由于這些密鑰都非常長(zhǎng)(通常為1024至8096位),所以我們通常使用公鑰的指紋或哈希值來標(biāo)記密鑰,讓某些密鑰管理工作更容易和更快速,例如驗(yàn)證屬于其他用戶的密鑰或者驗(yàn)證證書頒發(fā)機(jī)構(gòu)。然而,當(dāng)轉(zhuǎn)換為十六進(jìn)制數(shù)字時(shí)指紋為40位,這對(duì)于人類來說仍然太長(zhǎng)而難以使用,因此人們和很多應(yīng)用僅使用指紋的最后八位數(shù)。這被稱為短密鑰ID--長(zhǎng)ID是指指紋的最后16位數(shù)字。下面是例子:

指紋: 0D29 F56F 12BD BA07 7B37 15AB 851F 799A B4FF 1057

長(zhǎng)ID: 851F 799A B4FF 1057

短ID: B4FF 1057

雖然現(xiàn)代密鑰散列函數(shù)幾乎不存在具有相同哈希值的兩個(gè)輸入,但兩個(gè)哈希值最后八位數(shù)相同的幾率還是很高。事實(shí)上,我們已經(jīng)發(fā)現(xiàn)很多具有相同短密鑰ID的欺騙性PGP密鑰。

多年來,大家已經(jīng)知道這種碰撞攻擊成功的可能性。在2011年,軟件工程師Asheesh Laroia有效證明了這種攻擊的可行性,這個(gè)問題在“RFC 4880:OpenPGP Message Format”3.3章節(jié)中也有提及--“不應(yīng)該假定密鑰ID為唯一標(biāo)識(shí)”。盡管如此,使用短密鑰ID仍然是常見做法,并構(gòu)成真正威脅,特別是當(dāng)涉及文件下載的完整性時(shí),例如Linux內(nèi)核。

盡管PGP本身沒有缺陷或漏洞,但使用短密鑰ID基本上是不安全的糟糕做法。用戶不應(yīng)該信任比公共PGP密鑰完整指紋更短的ID用于驗(yàn)證;密鑰ID的目的是幫助搜索密鑰,而不是驗(yàn)證它。用戶和軟件都需要開始顯示和檢查完整指紋,或者至少使用長(zhǎng)ID。長(zhǎng)密鑰ID也可能存在碰撞,但可能性較小。軟件開發(fā)人員應(yīng)該明確編寫或重新編寫代碼以包含整個(gè)指紋,畢竟云計(jì)算使得攻擊者可為長(zhǎng)密鑰ID生成碰撞攻擊?,F(xiàn)在那些將PGP密鑰短ID印在名片背面的PGP支持者們可能會(huì)想要增加指紋的前兩位來幫助他人驗(yàn)證其密鑰。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)