subject:"Re\: \[Ninux\-Wireless\] chiavi PGP fake"

Re: [Ninux-Wireless] chiavi PGP fake

2016-08-29 Per discussione LuX

Il giorno 27 ago 2016, alle ore 13:21, Niccolo Avico  
ha scritto:
> 
> Sono d'accordo anche io sull'organizzare un signing party  quanto prima.
> 
> Niccolò

Ciao a tutti,
si, concordo sul fare quanto prima un signing party, così diamo una sistemata 
al web-of-thrust che (come dice ClauZ) è l'unico modo corretto di dare un senso 
compiuto a PGP.

My 2 cents,
LuX
___
Wireless mailing list
Wireless@ml.ninux.org
http://ml.ninux.org/mailman/listinfo/wireless

Re: [Ninux-Wireless] chiavi PGP fake

2016-08-27 Per discussione Niccolo Avico

Io ne ho trovate due con ID 0xFD266A76 e fingerprint completi diversi.
Una risulta revocata il 16/08/2016 ma non da me ed è quella fake, il mio
fingerprint esatto (della chiave con cui sto firmando anche questa mail) è:

CD79 F09D D5A5 703D 597B  D1BA 0926 3C8C FD26 6A76

Sono d'accordo anche io sull'organizzare un signing party  quanto prima.

Niccolò



Il 26/08/2016 19:26, BornAgain ha scritto:
> On 25/08/2016 16:03, Marco Giuntini wrote:
>> Da una ricerca le chiavi fake risultano revocate:
>> http://pgp.mit.edu/pks/lookup?search=0xBD774009=index
>>
>> http://pgp.mit.edu/pks/lookup?search=0x68729FAF=index
>>
>>
>> Il fingerprint completo della mia *vera* chiave e':
>> 54CD D565 D31B B16A 9302 CC1E 8EC3 5C31 BD77 4009
>>
>>
>>
>> Marco
> A quanto pare anche la mia risulta revocata
>
> pub  2048R/29DC1A03 2014-06-16 *** KEY REVOKED *** [not verified]
>BornAgain 
>Fingerprint=5CD7 03B3 989E 4ED6 87B2  768B 5746 FCF6 29DC 1A03
>
>
> però sinceramente non ho capito bene come comportarmi
>
>
>
>
>
> 
> BornAgain
>
> bornagain [at] autoproduzioni.net
>
> Nodi su rete wireless comunitaria Ninux.org
> http://map.ninux.org/select/reggiocalbornagain/
> http://map.ninux.org/select/romapandora/
> ed altri ..
> ___
> Wireless mailing list
> Wireless@ml.ninux.org
> http://ml.ninux.org/mailman/listinfo/wireless

-- 
Niccolò Avico
Hangout: niccolo.av...@gmail.com
Skype: niccolo.avico
PGP key: 0xFD266A76



0xFD266A76.asc
Description: application/pgp-keys


signature.asc
Description: OpenPGP digital signature
___
Wireless mailing list
Wireless@ml.ninux.org
http://ml.ninux.org/mailman/listinfo/wireless

Re: [Ninux-Wireless] chiavi PGP fake

2016-08-25 Per discussione Claudio Pisa

On 08/25/2016 05:45 PM, Niccolo Avico wrote:
> Il 25/08/2016 16:54, Claudio Pisa ha scritto:
>> On 08/25/2016 04:30 PM, Claudio Pisa wrote:
>>> Altre info qui:
>>>
>>> https://evil32.com/
>>>
>>> e qui:
>>>
>>> https://news.ycombinator.com/item?id=12296974
>> Leggendo i link sopra sembra che le cose siano andate cosi':
>>
>> Gli autori di questo "attacco" hanno generato una copia fake delle
>> chiavi dello strong set del web of trust PGP e hanno solo pubblicato le
>> chiavi pubbliche sul web.
>>
>> Poi qualcuno ha preso queste chiavi pubbliche e le ha effettivamente
>> caricate sui keyserver.
> Domanda: se questo procedimento è replicabile arbitrariamente è l'intero
> castello PGP a rischio di inutilità? Voglio dire, se inizia un loop di
> generazioni {fake  -> pubblicazione}* non è che poi si possa stare a
> rigenerarsi ogni volta il web-of-trust. Oppure mi perdo qualcosa?

IMHO la questione e' questa: PGP andrebbe sempre usato con il web of trust.

Ovvero: se ricevo un messaggio (o un package) firmato, se non ho una
chain of trust fino al mittente (cioe' un percorso valido che mi porta
dalle chiavi che ho verificato e firmato personalmente fino a quella del
mittente), non devo considerare quella firma valida.

Quello che spesso capita e' che invece le firme vengano verificate come
nell'esempio qui: https://evil32.com/examples.html , ignorando i warning.

Quindi non e' un problema architetturale di PGP: ci serve un web of
trust piu' fitto e diffuso (oltre che interfacce utente migliori, come
faceva notare Elena).

ciao,
Clauz

signature.asc
Description: OpenPGP digital signature
___
Wireless mailing list
Wireless@ml.ninux.org
http://ml.ninux.org/mailman/listinfo/wireless

Re: [Ninux-Wireless] chiavi PGP fake

2016-08-25 Per discussione Niccolo Avico

Il 25/08/2016 16:54, Claudio Pisa ha scritto:
> On 08/25/2016 04:30 PM, Claudio Pisa wrote:
>> Altre info qui:
>>
>> https://evil32.com/
>>
>> e qui:
>>
>> https://news.ycombinator.com/item?id=12296974
> Leggendo i link sopra sembra che le cose siano andate cosi':
>
> Gli autori di questo "attacco" hanno generato una copia fake delle
> chiavi dello strong set del web of trust PGP e hanno solo pubblicato le
> chiavi pubbliche sul web.
>
> Poi qualcuno ha preso queste chiavi pubbliche e le ha effettivamente
> caricate sui keyserver.
Domanda: se questo procedimento è replicabile arbitrariamente è l'intero
castello PGP a rischio di inutilità? Voglio dire, se inizia un loop di
generazioni {fake  -> pubblicazione}* non è che poi si possa stare a
rigenerarsi ogni volta il web-of-trust. Oppure mi perdo qualcosa?

Niccolò

> Quindi per limitare i danni gli autori hanno recuperato le chiavi
> private corrispondenti e hanno generato e caricato i certificati di revoca.
>
> Clauz
>
>
> ___
> Wireless mailing list
> Wireless@ml.ninux.org
> http://ml.ninux.org/mailman/listinfo/wireless

-- 
Niccolò Avico




signature.asc
Description: OpenPGP digital signature
___
Wireless mailing list
Wireless@ml.ninux.org
http://ml.ninux.org/mailman/listinfo/wireless

Re: [Ninux-Wireless] chiavi PGP fake

2016-08-25 Per discussione Elena ``of Valhalla''

On 2016-08-25 at 15:49:21 +0200, Claudio Pisa wrote:
> Da qualche giorno e' in corso un "collision attack" sullo short id delle
> chiavi PGP:
> 
> http://www.phoronix.com/scan.php?page=news_item=Short-PGP-Collision-Attacks

come già linkato da altri, è ben più di qualche giorno (e il problema è
noto da tempo, ma è un problema di UI più che intrinseco).

> Forse sarebbe meglio ricreare le chiavi e organizzare dei nuovi signing
> party...

ricreare le chiavi non è particolarmente necessario: quelle non sono
state compromesse, così come non sono state compromesse le firme fatte
controllando il fingerprint completo.

Se qualcuno ha firmato chiavi altrui dopo aver controllato solo lo UID
breve (o se ha il dubbio di averlo fatto) può essere il caso di revocare
quelle firme.

Detto questo, un nuovo signing party è sempre cosa buona.

-- 
Elena ``of Valhalla''

signature.asc
Description: PGP signature
___
Wireless mailing list
Wireless@ml.ninux.org
http://ml.ninux.org/mailman/listinfo/wireless

Re: [Ninux-Wireless] chiavi PGP fake

2016-08-25 Per discussione Claudio Pisa

On 08/25/2016 04:30 PM, Claudio Pisa wrote:
> Altre info qui:
> 
> https://evil32.com/
> 
> e qui:
> 
> https://news.ycombinator.com/item?id=12296974

Leggendo i link sopra sembra che le cose siano andate cosi':

Gli autori di questo "attacco" hanno generato una copia fake delle
chiavi dello strong set del web of trust PGP e hanno solo pubblicato le
chiavi pubbliche sul web.

Poi qualcuno ha preso queste chiavi pubbliche e le ha effettivamente
caricate sui keyserver.

Quindi per limitare i danni gli autori hanno recuperato le chiavi
private corrispondenti e hanno generato e caricato i certificati di revoca.

Clauz

___
Wireless mailing list
Wireless@ml.ninux.org
http://ml.ninux.org/mailman/listinfo/wireless

Re: [Ninux-Wireless] chiavi PGP fake

2016-08-25 Per discussione Pierluigi Checchi

Confermo, anche la mia ha subito collision di ID e revocata.
Sembra che per le chiavi ottenute in questa maniera non esistano le
relative private keys, e che basta in ogni caso verificare sempre l'intero
FINGERPRINT (che non è soggetto a collisione). Le chiavi in collisione di
ID hanno inoltre una data diversa da quella originale.

--

*pub*  1024R/E17A7765

2014-06-15
sig revok  E17A7765

2016-08-16 __ __ [selfsig]



Saluti,
PC



2016-08-25 16:03 GMT+02:00 Marco Giuntini :

> Da una ricerca le chiavi fake risultano revocate:
> http://pgp.mit.edu/pks/lookup?search=0xBD774009=index
>
> http://pgp.mit.edu/pks/lookup?search=0x68729FAF=index
>
> Il fingerprint completo della mia **vera** chiave e':
> 54CD D565 D31B B16A 9302 CC1E 8EC3 5C31 BD77 4009
>
>
>
> Marco
>
>
> On 25/08/16 15:49, Claudio Pisa wrote:
>
> Ciao, lista.
>
> Da qualche giorno e' in corso un "collision attack" sullo short id delle
> chiavi PGP:
> http://www.phoronix.com/scan.php?page=news_item=Short-PGP-Collision-Attacks
>
>
> E a quanto pare anche alcuni di noi sono stati colpiti. Per esempio sia
> la prima identita' PGP qui (quella che inizia con 8C3E) sia tutte quelle
> che hanno firmato quella chiave sono dei fake (e cosi' le firme di
> quelle chiavi, a catena):
> https://sks-keyservers.net/pks/lookup?op=vindex=Claudio+Pisa=on
>
>
> Il fingerprint completo della mia *vera* chiave e':
> 81A1 D3A5 F0B5 9D28 FABD B4A4 1401 FA8E 6872 9FAF
>
> Forse sarebbe meglio ricreare le chiavi e organizzare dei nuovi signing
> party...
>
>
> bella,
> Clauz
>
>
>
>
> ___
> Wireless mailing 
> listWireless@ml.ninux.orghttp://ml.ninux.org/mailman/listinfo/wireless
>
>
>
> ___
> Wireless mailing list
> Wireless@ml.ninux.org
> http://ml.ninux.org/mailman/listinfo/wireless
>
>
___
Wireless mailing list
Wireless@ml.ninux.org
http://ml.ninux.org/mailman/listinfo/wireless

Re: [Ninux-Wireless] chiavi PGP fake

2016-08-25 Per discussione Marco Giuntini

Da una ricerca le chiavi fake risultano revocate:
http://pgp.mit.edu/pks/lookup?search=0xBD774009=index

http://pgp.mit.edu/pks/lookup?search=0x68729FAF=index


Il fingerprint completo della mia *vera* chiave e':
54CD D565 D31B B16A 9302 CC1E 8EC3 5C31 BD77 4009



Marco

On 25/08/16 15:49, Claudio Pisa wrote:
> Ciao, lista.
>
> Da qualche giorno e' in corso un "collision attack" sullo short id delle
> chiavi PGP:
>
> http://www.phoronix.com/scan.php?page=news_item=Short-PGP-Collision-Attacks
>
>
> E a quanto pare anche alcuni di noi sono stati colpiti. Per esempio sia
> la prima identita' PGP qui (quella che inizia con 8C3E) sia tutte quelle
> che hanno firmato quella chiave sono dei fake (e cosi' le firme di
> quelle chiavi, a catena):
>
> https://sks-keyservers.net/pks/lookup?op=vindex=Claudio+Pisa=on
>
>
> Il fingerprint completo della mia *vera* chiave e':
> 81A1 D3A5 F0B5 9D28 FABD B4A4 1401 FA8E 6872 9FAF
>
> Forse sarebbe meglio ricreare le chiavi e organizzare dei nuovi signing
> party...
>
>
> bella,
> Clauz
>
>
>
> ___
> Wireless mailing list
> Wireless@ml.ninux.org
> http://ml.ninux.org/mailman/listinfo/wireless



0xBD774009.asc
Description: application/pgp-keys


signature.asc
Description: OpenPGP digital signature
___
Wireless mailing list
Wireless@ml.ninux.org
http://ml.ninux.org/mailman/listinfo/wireless

Re: [Ninux-Wireless] chiavi PGP fake

Re: [Ninux-Wireless] chiavi PGP fake

Re: [Ninux-Wireless] chiavi PGP fake

Re: [Ninux-Wireless] chiavi PGP fake

Re: [Ninux-Wireless] chiavi PGP fake

Re: [Ninux-Wireless] chiavi PGP fake

Re: [Ninux-Wireless] chiavi PGP fake

Re: [Ninux-Wireless] chiavi PGP fake

8 matches

Site Navigation

Mail list logo

Footer information