誇張! Adobe意外將PGP加密公、私金鑰公佈於網路上

Adobe上周不慎將PGP加密的公、私密金鑰以明文張貼在公司部落格上，引起使用者一陣議論。所幸及時發現後Adobe已經將金鑰取消，並頒佈新的金鑰。
 
安全研究人員Juho Nurminen上周五首先發現Adobe產品安全事件回應小組（PSIRT）不慎搞出的烏龍。他也證實金鑰的確是用於psirt@adobe.com的電郵信箱。
 
PGP（Pretty Good Privacy）是一套用於訊息加密、驗證的應用程式，採用IDEA的雜湊演算法進行加密和驗證。
 
從貼出的文字可以推斷，可能是Adobe小組成員利用Chrome及Firefox的擴充程式Mailvelope將包含PGP金鑰的文字檔從該小組共同帳號匯出到小組部落格。然而原本匯出的應該只有公開金鑰，但卻在無意間連私鑰也公佈出來。一旦私鑰被有心人拿到，他就可以冒充Adobe PSIRT小組的人發出網釣信件、解密Adobe機密資訊，像是尚未修補的漏洞等。
 
Adobe並未正式說明此事，但於周五將包含金鑰的文章自該公司部落格撤下，一度還被Google快取存下。所幸Adobe迅速取消了舊金鑰，發佈更新的PGP金鑰。