针对开发人员的碰撞攻击让我们发现Pretty Good Privacy(PGP)短ID的漏洞,该漏洞允许攻击者创建假ID密钥,这会给收件人解密或验证邮件制造问题。那么,这个漏洞的工作原理是什么,以及为什么短密钥ID会成为问题?
Michael Cobb:当为电子邮件、文档或文件创建哈希值或者消息摘要时,需要通过使用密码散列函数来生成内容的短数字指纹,这种数学算法会将任意大小的数据映射到短的固定长度值作为其唯一标识。哈希值被广泛用于安全的很多方面,例如数字签名和数据完整性检查,人们通常会精心选择散列函数以确保它们有较强的抗碰撞性--即两个不同的输入无法创建相同的散列值,因为攻击者的碰撞攻击会试图寻找具有相同散列值的两组不同数据片段。
而PGP是对消息或文件进行加密和数字签名的加密工具,PGP的用户会有公钥和私钥,公钥通常在密钥服务器发布。由于这些密钥都非常长(通常为1024至8096位),所以我们通常使用公钥的指纹或哈希值来标记密钥,让某些密钥管理工作更容易和更快速,例如验证属于其他用户的密钥或者验证证书颁发机构。然而,当转换为十六进制数字时指纹为40位,这对于人类来说仍然太长而难以使用,因此人们和很多应用仅使用指纹的最后八位数。这被称为短密钥ID--长ID是指指纹的最后16位数字。下面是例子:
指纹: 0D29 F56F 12BD BA07 7B37 15AB 851F 799A B4FF 1057
长ID: 851F 799A B4FF 1057
短ID: B4FF 1057
虽然现代密钥散列函数几乎不存在具有相同哈希值的两个输入,但两个哈希值最后八位数相同的几率还是很高。事实上,我们已经发现很多具有相同短密钥ID的欺骗性PGP密钥。
多年来,大家已经知道这种碰撞攻击成功的可能性。在2011年,软件工程师Asheesh Laroia有效证明了这种攻击的可行性,这个问题在“RFC 4880:OpenPGP Message Format”3.3章节中也有提及--“不应该假定密钥ID为唯一标识”。尽管如此,使用短密钥ID仍然是常见做法,并构成真正威胁,特别是当涉及文件下载的完整性时,例如Linux内核。
尽管PGP本身没有缺陷或漏洞,但使用短密钥ID基本上是不安全的糟糕做法。用户不应该信任比公共PGP密钥完整指纹更短的ID用于验证;密钥ID的目的是帮助搜索密钥,而不是验证它。用户和软件都需要开始显示和检查完整指纹,或者至少使用长ID。长密钥ID也可能存在碰撞,但可能性较小。软件开发人员应该明确编写或重新编写代码以包含整个指纹,毕竟云计算使得攻击者可为长密钥ID生成碰撞攻击。现在那些将PGP密钥短ID印在名片背面的PGP支持者们可能会想要增加指纹的前两位来帮助他人验证其密钥。