Un modo per revocare la vecchia coppia di chiavi?

1

C'è una chiave DSA 1024 vecchia di un anno nei server di chiavi pubblici sotto il mio nome. C'è una sottochiave ELG-E 2048 per questo. Non ho creato queste chiavi, sono state create per me da un ex datore di lavoro senza il mio consenso. Non ho la chiave privata e apparentemente non ha una data di scadenza. (Semplicemente geniale.) So che non c'è modo di rimuoverli dai server, ma c'è forse un modo per craccarli e rilasciare certificati di revoca? Il codice è sufficientemente vecchio / piccolo per essere ragionevolmente in grado di craccarli in questi giorni?

    
posta RichardX 30.01.2015 - 04:07
fonte

2 risposte

1

Se non hai creato la coppia di chiavi e non hai mai avuto la chiave privata, non è la tua chiave; è un falso creato da una terza parte. Chiunque può creare una chiave OpenPGP sotto il nome di chiunque senza il suo consenso e caricarla sui server delle chiavi pubblici. Il fatto che ciò sia stato fatto dal tuo ex datore di lavoro è irrilevante (a meno che non significhi che puoi contattarli e chiedere loro gentilmente di revocare la chiave).

La vera soluzione a questo problema è la web of trust : la tua chiave originale dovrebbe essere verificata direttamente dai tuoi contatti e / o firmata da altri di cui si fidano (e le cui chiavi hanno verificato). Se i tuoi contatti non lo capiscono, le tue comunicazioni private con loro sono già condotte, in quanto saranno facilmente ingannati quando un malintenzionato man-in-the-middle fornisce loro una chiave falsa.

    
risposta data 28.09.2015 - 02:28
fonte
0

L'unico exploit che riesco a trovare su 1024 DSA è un attacco di sniffing del traffico tramite un pRNG imperfetto, ed è un po 'irragionevole.

(Se riesci a decifrare PGP, lascia sapere a tutti noi che possiamo correre con i nostri capelli in fiamme: P)

Ecco alcuni modi per contrassegnare questo tasto come non valido. Tuttavia, a meno che tu non riesca a mettere le mani su un certificato di revoca, quelle chiavi sono gettate nel vuoto.

link

    
risposta data 30.01.2015 - 17:03
fonte

Leggi altre domande sui tag