Рубрика «gpg» - 2

Об авторе: Филиппо Валсорда занимается криптографией и TLS, называет себя «послом urandon», входит в криптогруппу компании Cloudflare, поднял известный сервис для тестирования на уязвимость Heartbleed. Вы могли встречать его на конференциях по криптографии и компьютерной безопасности или под ником @FiloSottile на Github и в твиттере

Я отказался от PGP - 1Спустя годы мучений с GnuPG с различным уровнем энтузиазма я пришёл к выводу, что оно не стоит того, и я сдаюсь. По крайней мере относительно концепции долговременных ключей PGP.

Речь не о самой программе gpg и не о криптографических инструментах в принципе. Многие писали на эту тему. Я говорю о модели долговременных ключей PGP, будь она гарантирована сетью доверия, отпечатками открытых ключей или моделью TOFU — неважно. Я говорю о том, что она не подходит для меня лично.
Читать полностью »

32-битные Short-ID окончательно дискредитированы

free@turing ~$ gpg --keyserver pgp.mit.edu --recv-keys 10000001

gpg: requesting key 10000001 from hkp server pgp.mit.edu
gpg: key 10000001: public key "Linus Torvalds" imported
gpg: key 10000001: public key "Linus Torvalds" imported
gpg: Total number processed: 2
gpg:            imported: 2  (RSA: 2)

Давно известно, что PGP уязвим к атакам на короткий идентификатор (short-ID). Относительно несложно сгенерировать пару совместимых с GnuPG 4096-битных RSA-ключей с заранее заданным коротким (32-битным) идентификатором short-ID, именем владельца и адресом электронной почты. Процедура поиска коллизии занимает буквально 10-20 минут на обычном компьютере, что демонстрировалось неоднократно. На современном GPU она занимает 4 секунды при использовании программы Scallion.

Раньше атака рассматривалась чисто теоретически, но с начиная с июня 2016 года разработчики начали сообщать о реальных случаях подделки их коротких идентификаторов — фальшивые ключи размещались на серверах криптографических ключей. А сейчас дело дошло до Линуса Торвальдса и ведущих разработчиков ядра Linux.
Читать полностью »

Проект GnuPG успешно завершил кампанию по сбору средств - 1
Вернер Кох

Вернер Кох, бессменный автор и управляющий проекта GNU Privacy Guard (GPG) для шифрования и цифровой подписи информации (писем, файлов и др.), успешно получил финансирование для продолжения работы. Кроме краудфандинга, принёсшего ему $150000, он получил $60000 от фонда Linux и ежегодные гранты от Facebook и Stripe по $50000.
Читать полностью »

В этой теме я хотел бы дать короткий конспект как настроить относительно анонимную и относительно приватную систему email-переписки. Наверняка большинству из вас будут известны как минимум некоторые моменты из того, что написано ниже, я всего лишь попытался «собрать всё воедино».

Сразу хочу сказать насчет слова «относительно» в первом абзаце: абсолютную/защиту/надежность/безопасность в этом мире никто дать не может. Можно подцепить keylogger, полиция и спецслужбы абсолютно свободных и демократических могут на вполне законных основания вставить «жучек» в компьютер если вы подозреваетесь в серьезных преступлениях и т.д.

Если интересно, то прошу под кат.

Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js