On 2015-03-06 01:26 +1100, Orkut Murat Yılmaz wrote: > Selamlar,
Merhaba, > 2.'si için yanıtım, pgp.mit.edu'ya yüklediğim public key'imin son 8 > basamağını, "GPG: 0xA1AFC6FC" biçiminde tüm sosyal mecralardaki profil > bilgilerimde paylaşıyorum. 32 bitlik parmak izi kullanmaniz aslinda sakincali. Nedenlerini aciklamak biraz da dikkatinizi cekmek amacli 32 bitlik parmak izinizle ayni ize sahip 4096 bitlik bir anahtar cifti olusturup pgp.mit.edu'ya yukledim[1]. Biraz daha ugrasip asil anahtarinizi imzalayan kisilerin anahtarlariyla da collision bulup bu urettigim sahte anahtari imzalayabilirdim. Hatta oyle ki encryption subkey'iniz icin bile bir collision bulup bunu sahtesini urettigim anahtariniza dahil edebilirdim. Ardindan tek yapmam gereken sahte anahtarinizla imzaladigim bir zararli yazilimi ya da e-postayi kurbana gondermek olacakti. Ornek ciktilar; gpg2 --keyserver pgp.mit.edu --recv-keys A1AFC6FC gpg: requesting key A1AFC6FC from hkp server pgp.mit.edu gpg: DBG: armor-keys-failed (KEY 0xA1AFC6FC BEGIN ) ->0 gpg: key A1AFC6FC: public key "Orkut Murat Yılmaz (mycurrentkey) <orkutmuratyil...@gmail.com>" imported gpg: DBG: armor-keys-failed (KEY 0xA1AFC6FC END ) ->0 gpg: key A1AFC6FC: public key "Orkut Murat Yılmaz (mycurrentkey) <orkutmuratyil...@gmail.com>" imported gpg: 3 marginal(s) needed, 1 complete(s) needed, PGP trust model gpg: depth: 0 valid: 2 signed: 0 trust: 0-, 0q, 0n, 0m, 0f, 2u gpg: next trustdb check due at 2015-10-06 gpg: Total number processed: 2 gpg: imported: 2 (RSA: 2) ~ @$ gpg2 --list-keys A1AFC6FC pub 4096R/A1AFC6FC 2015-03-06 [expires: 2015-03-07] uid [ unknown] Orkut Murat Yılmaz (mycurrentkey) <orkutmuratyil...@gmail.com> sub 4096R/D5ABB24B 2015-03-06 [expires: 2015-03-07] pub 4096R/A1AFC6FC 2014-09-08 [expires: 2016-09-07] uid [ unknown] Orkut Murat Yılmaz (mycurrentkey) <orkutmuratyil...@gmail.com> sub 4096R/4A4B9378 2014-09-08 [expires: 2016-09-07] Gordugunuz gibi gelen anahtarlari dogrulamak icin varsayilan ciktilara bakmak yeterli olmuyor. Bu arada unutmadan anahtari bir iki gune revoke edecegim. Zaten gecerlilik suresini de bir gun yapmistim. Nasil korunursunuz? Bana kalirsa public hicbir anahtar sunucuya guvenmemelisiniz. Su anda 32 bitlik collisionlar bulmak guclu bir GPU ile 3-4 saniye suruyor. 64 bitlikler icin ise henuz bu sekilde kurgulanabilecek bir atak bildigim kadariyla mumkun degil. Yani en azindan 64 bit (son 16 hane) paylasirsaniz daha guvenli olacaktir. Bunu sizin ozelinizde kullanici aliskanliklarinin dogru yerlestirilebilmesine vesile olmasi icin yaziyorum. Malumunuz bu isler ulkemize yeni yeni yayiliyorken temeli saglam tutmak cok onemli. Sevgiler, Cagri [1] http://pgp.mit.edu/pks/lookup?search=orkut+murat&op=index _______________________________________________ Linux-sohbet mailing list Linux-sohbet@liste.linux.org.tr https://liste.linux.org.tr/mailman/listinfo/linux-sohbet Liste kurallari: http://liste.linux.org.tr/kurallar.php
