[e-privacy] Chiavi GPG di tipo 20 vulnerabili
Francesco Poli
frx at firenze.linux.it
Mon Dec 1 23:33:29 CET 2003
Scoperta vulnerabilita` in GnuPG (versioni da 1.0.2 a 1.2.3) legata
all'uso (piuttosto atipico) di chiavi di firma+cifratura ElGamal.
Per fortuna questo tipo di chiave viene generato da GnuPG solo su
esplicita richiesta: le chiavi standard GnuPG (cioe` firma DSA e
cifratura ElGamal) *non* sono vulnerabili. *Neanche* le chiavi RSA.
La vulnerabilita` consente di determinare la chiave privata a chi e` in
possesso di un documento firmato con una tale chiave!
La soluzione e` revocare immediatamente tutte le chiavi (chiavi primarie
o sottochiavi) di tipo 20 (firma+cifratura ElGamal). Queste chiavi sono
da considerarsi (potenzialmente) compromesse.
Per ulteriori dettagli:
http://lists.gnupg.org/pipermail/gnupg-announce/2003q4/000276.html
Pubblicata una patch per la versione 1.2.3 di GnuPG che disabilita l'uso
e la generazione di chiavi di tipo 20 (vulnerabili):
http://lists.gnupg.org/pipermail/gnupg-announce/2003q4/000277.html
--
| GnuPG Key ID = DD6DFCF4 | You're compiling a program
Francesco | Key fingerprint = | and, all of a sudden, boom!
Poli | C979 F34B 27CE 5CD8 DC12 | -- from APT HOWTO,
| 31B5 78F4 279B DD6D FCF4 | version 1.8.0
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 189 bytes
Desc: not available
URL: <http://lists.winstonsmith.org/pipermail/e-privacy/attachments/20031201/0cb4052e/attachment.pgp>
More information about the E-privacy
mailing list