最新消息
2017/9/26
誇張! Adobe意外將PGP加密公、私金鑰公佈於網路上
Adobe上周不慎將PGP加密的公、私密金鑰以明文張貼在公司部落格上,引起使用者一陣議論。所幸及時發現後Adobe已經將金鑰取消,並頒佈新的金鑰。
安全研究人員Juho Nurminen上周五首先發現Adobe產品安全事件回應小組(PSIRT)不慎搞出的烏龍。他也證實金鑰的確是用於psirt@adobe.com的電郵信箱。
PGP(Pretty Good Privacy)是一套用於訊息加密、驗證的應用程式,採用IDEA的雜湊演算法進行加密和驗證。
從貼出的文字可以推斷,可能是Adobe小組成員利用Chrome及Firefox的擴充程式Mailvelope將包含PGP金鑰的文字檔從該小組共同帳號匯出到小組部落格。然而原本匯出的應該只有公開金鑰,但卻在無意間連私鑰也公佈出來。一旦私鑰被有心人拿到,他就可以冒充Adobe PSIRT小組的人發出網釣信件、解密Adobe機密資訊,像是尚未修補的漏洞等。
相關連結
iThome
< back
德欣寰宇 台北市中正區新生南路一段50號5樓500室 TEL:02-2358-2775