PGPの32ビット鍵IDが問題に、Linus Torvalds氏などの偽造鍵も確認される
2016年8月23日 20:21
ソースコードの改ざん防止や本人確認に使われるPGP署名で、鍵の偽造が問題になっているようだ。
問題となっているのは鍵IDが32ビットの鍵だそうで、Linuxの開発者であるLinux Torvalds氏やGrek K-H氏の偽造鍵が発見されているようだ(LKMLへの投稿、ZDNet Japan)。
すでに32ビットの鍵IDは脆弱であることが知られており、GPUを使った処理で容易に偽の鍵を生成できる状態になっているようだ。対策としては鍵IDのビット数をより長いものにすれば良い。また、今回は偽造鍵が見つかっただけで、それ以外のトラブルや問題、これを利用した攻撃などは確認されていないようだ。
ただ、こういった脆弱な鍵が存在する状況で公開鍵サーバーを利用することについて懸念の声も上がっている。
スラドのコメントを読む | セキュリティセクション | セキュリティ | 暗号
関連ストーリー: オランダ警察、「PGP Blackberry」使われているPGP暗号化されたメールを解読していた 2016年01月19日 開発資金が枯渇寸前だったGnuPG、資金調達に成功 2015年02月09日 PGPなどで知られるHal Finney氏が死去、遺体は冷凍保存へ 2014年09月02日