パスワードを忘れた? アカウント作成
13415824 story
暗号

Adobeのセキュリティチーム、誤ってPGP秘密鍵をブログで公開 24

ストーリー by headless
秘密 部門より
AdobeのProduct Security Incident Response Team(PSIRT)がPGP公開鍵とともに、誤ってPGP秘密鍵をブログへ投稿するトラブルが発生していたそうだ(Juho Nurminen氏のツイートArs Technicaの記事The Registerの記事)。

PGP鍵はブラウザー拡張機能「Mailvelope」を使用してPSIRTのWebメールアカウントからエクスポートしたものとみられる。Mailvelopeのエクスポート画面では「Public」「Private」「All」という選択肢があり、ここで「All」を選択してしまったようだ。発見者のJuho Nurminen氏は、このPGP鍵がPSIRTの電子メールアドレスに関連付けられていたことも確認している。

なお、その後ブログ記事は更新され、現在はGPGToolsから直接出力した新しいPGP公開鍵のみが掲載されている。
  • by Anonymous Coward on 2017年09月24日 14時37分 (#3284949)

    「秘密鍵をエクスポートしますがよろしいですか?」
    「秘密鍵をエクスポートしますが本当によろしいですか?」
    「秘密鍵をエクスポートしますが本当に本当によろしいですか?」
    「秘密鍵をエクスポートしますが本当によろしいですか?どうなっても知りませんよ?」

    ぐらいやれとはいわないけど、秘密鍵エクスポートするときは公開鍵エクスポートするときよりも手順増やさないと
    再び間違える人は現れるのでは?

    ここに返信
  • by Anonymous Coward on 2017年09月24日 13時10分 (#3284931)

    これって公開してしまった秘密鍵は破棄して
    新規に再発行するかんじでしょうか?

    ここに返信
    • by Anonymous Coward on 2017年09月24日 20時51分 (#3285059)

      今後のことは再発行で済むけど、旧鍵でエンコードされた過去のメールなり文書なりの正当性を保証できなくなるのでそっちが困る。
      何せ秘密鍵が漏れてしまったので、誰でも「過去の」偽造文書を作れる。

      • by Anonymous Coward on 2017年09月24日 21時12分 (#3285069)

        そこでブロックチェーンですよ(とっておきのドヤ顔で)

      • by Anonymous Coward

        そもそも鍵に有効期限があるのって、永久に破られない暗号鍵というのは技術的に不可能だから破られる前に更新させるのが目的だよね。ってことは有効期限が切れた鍵で署名された文書はどのみち信頼できないんじゃないの?

        • by Anonymous Coward

          今回は漏れたから期限前に新しいのに入れ替えたんじゃないの?
          だとしたら漏れた方はまだ(失効はしているが)有効期限内だし、「先日(←漏洩前)こんな文書を受け取ったんだけど」的なことはできる。

        • by Anonymous Coward

          賞味期限が切れたら信頼/保証できない食品に例えちゃうぞ~。

          賞味期限3年の真空パック食品を仕入れた後で間違って封を破られて
          『真空破れたから賞味期限あと3日な』、とか言われても
          仕入れた店が困ることには変わりないのではないだろうか。
          (もちろん完全な例えではありません!)

      • by Anonymous Coward

        え、そんな過去の署名の正当性なんて当初から保証されないものでは。
        鍵には期限も破棄もありきなので、そんなことを保証するものではないはず。

        この手の鍵の使い方勘違いしてないか。

        • by Anonymous Coward

          ずっと秘密鍵を公開しなければチェックできるでしょう。公開鍵から力技で解読できるぐらい過去なら知らんが。

      • by Anonymous Coward

        PGPでメールの話なら受取人がタイムスタンプ含めてきちんと保存すればいいだけの話だけど、相手に認めさせるとなると難しいね。

        タイムスタンプ署名サービスとかないのかな。
        一時間ごとに鍵生成。
        公開鍵はいつまでも公開。
        秘密鍵は期限終了後即時廃棄。
        廃棄さえきちんとしていれば漏れるはずがない。

  • これ一つで貶しはしないけど、「さすがadobeェ...」って言いたくなるぞ

    --
    M-FalconSky (暑いか寒い)
    ここに返信
    • by Anonymous Coward

      > これ一つで貶しは

      もう手遅れという意味ですか?

      • by Anonymous Coward

        せっかく明言を避けてるのに…

        # 余計なツッコミで場を凍らす人、最近増えた気がするのは気のせい?

  • by Anonymous Coward on 2017年09月24日 18時16分 (#3285011)

    おかげで1日に300通のクソスパムが届く

    ここに返信
typodupeerror

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

読み込み中...