Quali sono le conseguenze delle collisioni di chiavi OpenPGP?

0

In questa risposta alle chiavi GPG & SHA-1 , c'è la frase:

However, since PGP keys are usually generated by their users, collision attacks are not a problem. They might conceivably be a problem in contexts where someone's key is generated by a third party, which might occur in some corporate environments or other large organizations.

Non capisco cosa significhi. C'è la possibilità che tu possa generare una coppia di chiavi PGP uguale a un'altra chiave esistente? Diciamo che non ho un obiettivo particolare, voglio solo assumere l'identità di qualcun altro come una risata. Quali caratteristiche della generazione di chiavi PGP ti consentono o impediscono?

    
posta Ohnana 12.01.2016 - 03:54
fonte

1 risposta

3

Devi distinguere tra diversi tipi di attacchi che rientrano nell'ambito dell'algoritmo della somma hash scelto.

Il post di cui fai riferimento su un lato discute attacchi di collisione (contro l'intera impronta digitale basata su SHA-1) .

However, since PGP keys are usually generated by their users, collision attacks are not a problem. They might conceivably be a problem in contexts where someone's key is generated by a third party, which might occur in some corporate environments or other large organizations.

Un attacco collisione significa trovare due (o più) chiavi con la stessa impronta digitale. Finché crei la tua chiave, questo non è un problema: tutto ciò che puoi fare è creare due chiavi con la stessa impronta digitale, ma appartengono comunque a te. Se qualcun altro crea la chiave per te (ad esempio, la tua azienda), potrebbe essere in grado di eseguire un attacco di collisione e consegnare una chiave con una determinata impronta mantenendo un'altra chiave con la stessa impronta digitale, ma potrebbero mantenere il privato le chiavi comunque, quindi non è necessario eseguire attacchi così sofisticati.

Un attacco di collisione è più semplice / veloce da eseguire come attacco preimage , in quanto hai più controllo sull'input e puoi trovare due chiavi arbitrarie con impronta digitale corrispondente invece di dover trovare una collisione per una determinata chiave fissa.

Preimage attacks on SHA-1 could be a problem, if one only relies on the fingerprint. I can imagine various scenarios where an attacker could fool someone into accepting their key in place of another key. Alice downloads a key from somewhere and calls Bob to verify the fingerprint. An attacker organizes a keysigning party and substitutes their key for someone else's. Such attacks would be difficult, but feasible.

Il risultato è che un utente malintenzionato avrebbe un'altra chiave con la stessa impronta digitale. Un simile attacco preimage probabilmente ingannerebbe un sacco (se non la maggior parte) delle implementazioni di OpenPGP nel considerare la chiave sbagliata.

Un attacco molto rilevante, ma diverso è un attacco di collisione su ID chiave breve . Gli ID chiave brevi sono sottoinsiemi a 32 bit dell'impronta digitale e hanno un intervallo di valori troppo piccolo. Quelli sono in realtà una sorta di attacchi di preimage, in quanto consentono di scontrare gli ID delle chiavi con le chiavi esistenti. La soluzione è di non utilizzare affatto ID della chiave breve .

    
risposta data 12.01.2016 - 11:46
fonte

Leggi altre domande sui tag