安全研究人員Juho Nurminen發現Adobe產品安全事件回應小組竟將PGP加密公私金鑰以明文公佈於部落格。

圖片來源: 

翻攝自Juho Nurminen的推特

Adobe上周不慎將PGP加密的公、私密金鑰以明文張貼在公司部落格上,引起使用者一陣議論。所幸及時發現後Adobe已經將金鑰取消,並頒佈新的金鑰。
 
安全研究人員Juho Nurminen上周五首先發現Adobe產品安全事件回應小組(PSIRT)不慎搞出的烏龍。他也證實金鑰的確是用於psirt@adobe.com的電郵信箱。
 
PGP(Pretty Good Privacy)是一套用於訊息加密、驗證的應用程式,採用IDEA的雜湊演算法進行加密和驗證。
 
從貼出的文字可以推斷,可能是Adobe小組成員利用Chrome及Firefox的擴充程式Mailvelope將包含PGP金鑰的文字檔從該小組共同帳號匯出到小組部落格。然而原本匯出的應該只有公開金鑰,但卻在無意間連私鑰也公佈出來。一旦私鑰被有心人拿到,他就可以冒充Adobe PSIRT小組的人發出網釣信件、解密Adobe機密資訊,像是尚未修補的漏洞等。
 
Adobe並未正式說明此事,但於周五將包含金鑰的文章自該公司部落格撤下,一度還被Google快取存下。所幸Adobe迅速取消了舊金鑰,發佈更新的PGP金鑰

 


Advertisement

更多 iThome相關內容