32ビットのShort-IDは永久に信用を失います
free@turing ~$ gpg --keyserver pgp.mit.edu --recv-keys 10000001 gpg: requesting key 10000001 from hkp server pgp.mit.edu gpg: key 10000001: public key "Linus Torvalds" imported gpg: key 10000001: public key "Linus Torvalds" imported gpg: Total number processed: 2 gpg: imported: 2 (RSA: 2)
PGPは、短い識別子(short-ID)に対する攻撃に対して脆弱であることが長い間知られています。 事前定義された短い(32ビット)ショートID、所有者名、および電子メールアドレスを持つGnuPG互換の4096ビットRSAキーのペアを生成するのは比較的簡単です。 衝突検索手順は、通常のコンピューターで文字通り10〜20分かかります。これは繰り返し実証されています。 最新のGPUでは、 Scallionプログラムを使用すると4秒かかります。
以前は、攻撃は純粋に理論的に考えられていましたが、2016年6月以降、開発者は短い識別子の偽造の実際のケースを報告し始めました -偽造キーは暗号化キーサーバーに配置されました。 そして今、Linus Torvaldsと主要なLinuxカーネル開発者に届いています。
犠牲者の中には、Linus Torvalds、Greg Kroah-Hartman(Greg Kroah-Hartman)およびその他の有名な開発者がいます。
0x00411886の検索結果: https ://pgp.mit.edu/pks/lookup?search=0x00411886&op=index
フェイクライナストーバルズ:0F6A 1465 32D8 69AE E438 F74B 6211 AA3B [0041 1886]
Real Linus Torvalds:ABAF 11C6 5A29 70B1 30AB E3C4 79BE 3E43 [0041 1886]
0x6092693Eの検索結果: pgp.mit.edu/pks/lookup?search=0x6092693E&op=index
フェイクグレッグクロアハートマン:497C 48CE 16B9 26E9 3F49 6301 2736 5DEA [6092 693E]
Real Greg Croa-Hartman:647F 2865 4894 E3BD 4571 99BE 38DB BDC8 [6092 693E]
最初のケースでは、短い識別子0041 1886、名前とメールアドレス(Linus Torvalds <torvalds@linux-foundation.org>)が一致します。
2番目のケースでは、短い識別子6092 693E(Greg Kroah-Hartman(Linuxカーネル安定版リリース署名キー)<greg@kroah.com>)が一致します。
理論的には、コリジョンは32ビットだけでなく、64ビットの短い識別子でも発見できます。 数秒ではなく、通常のGPUで数日または数週間でしましょう。 ただし、ASICクラスタでは、これは1桁速くなります。 最新のASICビットコインマイナーは、毎秒14テラヘッシュのハッシュで動作するとします。 そして、この目標を自問してクラスターを使用する場合はどうでしょうか?
すべての偽のキーは、 Evil 32データベースから暗号化キーサーバーに到達したと考えられています。 クローン化されたキーのベースは、長い間(約2万4,000個)蓄積されてきました。 どうやら、最近、一部のジョーカーは暗号キーの公開サーバーにアップロードすることにしました。
Evil 32を使用している人が偽のキーのベースを削除しても、誰でも攻撃を繰り返すことができます。
結論は明らかです。Short-IDの使用を完全に停止し、それらをどこにも指定せず、公開キーの完全な指紋のみを使用することをお勧めします。 さらに、GPG 2.1の最新バージョンは、デフォルトで完全な指紋をすでに表示しています。