Tag Archives: gpg

PGP 短 ID 的安全問題

PGP 短 ID 的安全問題出來了,不見棺材不掉淚啊:「Fake Linus Torvalds' Key Found in the Wild, No More Short-IDs.」。 重點在這段,已經有人發出攻擊了: Search Result of 0x00411886: https://pgp.mit.edu/pks/lookup?search=0x00411886&op=index Fake Linus Torvalds: 0F6A 1465 32D8 69AE E438 F74B 6211 AA3B [0041 1886] Real Linus Torvalds: ABAF 11C6 5A29 70B1 … Continue reading

Posted in Computer, Linux, Murmuring, Network, OS, Programming, Security, Social, Software | Tagged , , , , , , , , , , , , , , , , | Leave a comment

GitHub 支援 GPG sign

GitHub 推出一個超級重要的功能,確認 GPG sign 的正確性:「GPG signature verification」。 之前被同事複製了一份 .gitconfig 與 .gitconfig.local 後沒有修改裡面的內容,結果我在收到 diff mail 的時候看了半天想說「我什麼時候寫出這樣的 code」... -_- 不知道什麼時候會有「擋沒有 GPG sign」的功能,有的話就更好了 :o

Posted in Computer, Murmuring, Network, Programming, Security, Software | Tagged , , | Leave a comment

利用機器噪音的 Side-channel attack,解 GnuPG 的 RSA key...

Daniel Genkin、Adi Shamir、Eran Tromer 發表的論文:「RSA Key Extraction via Low-Bandwidth Acoustic Cryptanalysis」。 在維基百科上有「Acoustic cryptanalysis」的條目,不過好像還沒補上這次的事情... 2004 年的 Eurocrypt 時,後面兩位就已經發表過「Acoustic cryptanalysis - On nosy people and noisy machines」,可以針對機器的噪音取得「部份資訊」: 這次攻擊者利用「麥克風」可以對機器的聲音攻擊 (side-channel attack),進而「得到完整的 private key」: 左邊那台機器... 好像是隻手機啊... @_@ 收音的設備愈好,效果愈好: 這次直接把 GnuPG 打趴真是太過分了... (被 assign 了 … Continue reading

Posted in Computer, Murmuring, Security, Software | Tagged , , , , , , , , , , | Leave a comment