Выявлен дубликат короткого идентификатора PGP-ключа Линуса Торвальдса
Для верификации загрузки архивов с выпусками ядра Linux вместо общей централизованной цифровой подписи каждое ядро снабжено персональной PGP-подписью лица, сформировавшего релиз. Как правило, это Линус Торвальдс или Грег Кроа-Хартман. В списке рассылки разработчиков ядра Linux опубликовано предупреждение о выявлении фиктивных ключей Линуса Торвальдса и Грега Кроа-Хартмана, короткие 8-символьные идентификаторы которых совпадают с реальными ключами Линуса и Грега.
При верификации архивов рекомендуется проверять только полные 256-битовые слепки ключей, так как короткие 32-битовые слепки подвержены атаке через выявление коллизий. Начиная с июня наблюдается всплеск появления фиктивных ключей — в публичных серверах хранения ключей стали появляться ключи с ФИО и email известных разработчиков, короткий идентификатор которых совпадает с реальными ключами данных разработчиков.
Linus Torvalds:
Поддельный ключ: 0F6A 1465 32D8 69AE E438 F74B 6211 AA3B [0041 1886] Нормальный ключ: ABAF 11C6 5A29 70B1 30AB E3C4 79BE 3E43 [0041 1886] Greg Kroah-Hartman: Поддельный ключ: 497C 48CE 16B9 26E9 3F49 6301 2736 5DEA [6092 693E] Нормальный ключ: 647F 2865 4894 E3BD 4571 99BE 38DB BDC8 [6092 693E]© OpenNet
