Adobe случайно опубликовала в блоге свой секретный ключ PGP

  • Новость


Компания Adobe случайно опубликовала в блоге группы реагирования на инциденты (PSIRT) свои открытый и закрытый ключи PGP. Обычно на этой странице опубликован только открытый ключ — он нужен, чтобы подтвердить аутентичность писем от PSIRT. Но в этот раз сразу под открытым ключом был опубликован и закрытый, который используется для подписи (см. скриншот).

Первым этот факап заметил 22 сентября 2017 года специалист по безопасности Юхо Нурминен.


Скорее всего, инцидент вызван тем, что некий сотрудник компании не понимал разницы между открытым и закрытым ключами — и опубликовал оба. Вероятно, сотрудник при экспорте ключа в текстовый файл через браузерное расширение Mailvelope, слегка перепутал кнопки и нажал All вместо Public.


Нечего и говорить, чем угрожает публикация закрытого ключа. Кто угодно в интернете может рассылать зашифрованные письма, подписываясь аутентичной подписью Adobe (нужен ещё пароль). Кроме того, кто угодно может расшифровать зашифрованные письма, которые отправляла Adobe — а ведь они могут содержать информацию о 0day-уязвимостях в её продуктах. В принципе, теперь можно расшифровать старые зашифрованные письма, отправленные до 22 сентября. Конечно, для этого нужно иметь доступ к самим письмам.

Вероятность появления новых эксплоитов для продуктов Adobe в связи с этим инцидентом мала. Он просто говорит о том, что некоторым сотрудникам нужно прослушать лекцию о криптографии.

К данному моменту группа реагирования на инциденты Adobe сгенерировала новую пару ключей и выложила новый открытый ключ.
Поделиться публикацией
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама
Комментарии 58
  • +30
    Вот это доверие сотрудникам, вот это я понимаю! Рядовой работник саппорта имеет прямой доступ к закрытой части ключа. Интересно, а рутовые пароли от серверов им тоже выдают, ну, на всякий случай?
    • +22
      А зачем их выдавать? Они их на стикерах пишут и по офису развешивают.
      • +1
        Вы что! Это не безопасно. Написан на желтом листочке и приклеен на монитор.
        • 0
          Под клавиатурой же!
          • 0
            «Да я вас прошу, откуда взолщик догадается что это пароль?..» (С) служительница бухгалтерии
          • +1

            Так это и есть стикеры) можно еще просто ставить везде одинаковый пароль, тогда и запоминать не надо будет) забыл пароль к своей корпоративной почте — спроси у соседа!

      • +4
        Если закрытая часть ключа есть у саппорта – ключ уже скомпрометирован.
        • +2
          «рутовые пароли» это уже небезопасно.
          • 0

            Да, новым уровнем будут SSH ключи для пользователей которым разрешен sudo у саппорта или тупо ssh ключ для рутаиу саппорта

        • +15
          image
          • +12
            Не отождествляейте индивида на картинке с тем, кто выложил приватный ключ. Сучок, когда пришло время, всё правильно сделал! )
            • +8
              Проблема не в сотруднике, а лёгкости возникновения чрезвычайной ошибки.
              • +1
                Да, это, по сути, вопросы ИБ.
                • +1
                  Вот только вчера дружно вопрошали: «Нафига тут вторая кнопка-то в такой лёгкой доступности?!?»
                  • 0
                    Очевидно ведь — для этого замечательного момента в фильме то!
                    • 0
                      Ну а чего вы хотите от генно-модифицированного енота: как умел — так и сделал! В соответствии со своей логикой ;)
                  • 0
                    Зачем же так грубо про деревце то? :)
                    • +1
                      Я тоже сперва прочитал слово как «инвалид»
                  • +10

                    Я есть Рут!

                • +1
                  А где именно Adobe использует этот ключ? Посмотрел письма приходящие от них — никакого PGP.
                • 0
                  Ну когда наберёшь себе полный офис индусов ещё и не такое будет :D
                  • +1

                    Шифруют как бы открытым ключём. Иначе какой смысл. Закрытый используют для отпечатка/подписи. Зная закрытый, можно расшифровать все письма к Adobe.

                    • 0
                      0-day может быть и в письмах к Эдоб.

                      Вот если на днях уволится их сотрудник, админивший почтовые сервера — флеш, пожалуй, умрет несколько раньше заявленного срока.
                      • +1
                        əˈdəʊbi
                        www.macmillandictionary.com/pronunciation/british/adobe
                        Простите занудство, просто почему-то весь пост-совок упорно зовёт Эдоуби Эдоуб/Эдоб/Адоб. Откуда это взялось, и почему распространилось даже на тех, у кого хороший английский – любопытно.
                        • 0
                          Потому что произносится не по правилам, а массовый доступ к звукам появился после букв. Если б оно писалось как Adobi, то может и звали б его как положено (но и то «o» стала б по-другому звучать).
                          • 0
                            Ну, тогда уж Adobie/Adoby следовало бы писать, чтобы читалось как эдоуби. Adobi это вообще мало на что похоже.
                            Но в любом случае остаются открытыми два вопроса:
                            • Почему же игнорируя по правилам последнюю букву, «правильные» ставят неправильно ударение, не на первую гласную? Уж или всё по правилам, или «трусы надень».
                            • Почему только на территории пост-совка читают эдоб, а, например, испанцы, бельгийцы и шведы (других не-американцев не слышал) озвучивают верно. А, ну может ещё в Азии или Африке проблемы с прочтением, ими мне даже не приходило в голову интересоваться, они в английский трэшовее наших пятиклассников.
                            • 0
                              Да, думал про Adoby, написал не правильно. А с чего бы на первую-то гласную, когда по транскрипции ударение на «o»?
                              • 0
                                Так вот в том и штука, что если читать по транскрипции, то будет Эдоуб. на первую гласную ударение. ЭЭдоуб. А читают все как эдОуб, игнорируя правило первой гласной, но соблюдая правило затухания последней. Либо лыжи не едут, либо я что-то пропустил и туплю. Где-то я двойку получил по инглишу?
                                • 0
                                  В английской транскрипции знак ударения ставится перед ударным слогом.
                                  • 0
                                    Я не то сказал, что имел ввиду в первом предложении последнего коммента. Если читать по транскрипцииправилам языка, то нужно читать Эдоуб. Если читать по транскрипции, то эдОуби. А люди почему-то последнюю букву выкидывают по правилам, а ударение ставят по транскрипции. Эта логика мне и непонятна.
                                    • 0
                                      Воспринимают как приставку :)
                                      Мне, как неанглоязычному, проще поставить ударение на o, тем более если читать как открытый слог и что есть всякие above/adapt, где тоже не на первом слоге ударение.
                                      • 0
                                        О, вот оно что, логично. Действительно, похоже на приставку. Так я на это слово не смотрел, наверно из-за того что оно всегда пишется с заглавной буквы, и таким образом лично у меня «А» с приставкой не ассоциируется. Спасибо.
                      • –2
                        Я могу ошибаться. Но насколько я знаю данные шифруются закрытым ключом, а расшифровывается открытым.
                          • +2

                            Вы ошибаетесь. Открытый и закрытый ключ, с точки зрения алгоритма шифрования RSA ничем не отличаются, то что зашифровано открытым расшифровывается закрытым и наоборот. Открытый ключ доступен всем, поэтому все могут послать письмо адоубу, так что только адоуб может расшифровать, либо все могут расшифровать хэш документа, зашифрованный закрытым ключом, тем самым убедиться, что подпись создана адоубом.

                            • +1
                              Шифруют все же открытым. Закрытым подписывают. Комментаторы выше правы. Входящие письма подписаны открытым ключом, чтобы только Adobe могла их прочитать. А теперь это может сделать кто угодно.
                              Правда этому кому угодно нужно еще эти письма откуда-то раздобыть для этого.
                              • 0
                                но можно ведь и от имени Адоба слать письма
                                • 0
                                  почтовые сервера через которые велась переписка, а точнее их владельцам и администраторам доступны эти письма.
                            • +2
                              Сразу страшно не будет: чтобы воспользоваться закрытым ключом, ещё passphrase надо знать.
                              • +1
                                Ну, чтобы «кто угодно» нужно ещё знать пароль для расшифровки ключа — просто ради интереса я импортировал его в gpg — и — как и ожидал — был спрошен на тему пароля.

                                Разумеется, это не делает инцидент менее значительным, но если всё же пароль достаточно сложный — то вряд-ли «кто угодно» будет в состоянии им воспользоваться.
                                • +1

                                  Ждем публикации пароля в блоге)

                                • +1

                                  Ну, по крайней мере, страус не засунул голову в песок, сделав удивлённую мину и сказав, что всё нормально, а


                                  К данному моменту группа реагирования на инциденты Adobe сгенерировала новую пару ключей и выложила новый открытый ключ.

                                  Хотя бы.

                                  • 0
                                    А что они могли ещё по этому поводу сделать, о чем не стыдно рассказать публично?
                                  • –3
                                    Зато, уверен, в резюме у этого сотрудника порядок и «полный фарш», и все тестовые задания на собеседовании он сделал.
                                    «Водить не купил»(с).
                                    • +1

                                      Товарищи, мне вот пришло не так давно письмо от одной организации, и внутри файла внизу был открытый ключ написан. Я действительно плохо понимаю в шифровании, поэтому мой вопрос такой. Какой смысл имеет указывать этот ключ, если файл и так не зашифрован? Если для подтверждения подлинности отправителя, то как мне, обычному человеку, узнать, что это действительно цифровая подпись именно этой организации, а не случайный набор цифр? Подскажите, пожалуйста, где почитать?

                                      • +2
                                        Открытый ключ рассылают корреспондентам, чтобы можно было послать ответ в зашифрованном виде.
                                        • +2
                                          Но как проверить, что ключ является подлинным, а не был заменён по пути?
                                          • +2
                                            Видимо, зайти на блог Adobe по https и проверить совпадение с открытым ключом там.
                                            • 0
                                              в письме должна быть для этого сигнатура — цифровая подпись содержимого (без этого ключа) сделанная приватным ключем того кто написал.

                                              вы должны заранее были озаботиться тем, чтобы со 100% гарантией получить публичный ключ от человека с кем общаетесь, например личная встреча, любой цифровой носитель или даже на бумаге.
                                              • 0
                                                А что мешает вставить открытый ключ в тело письма и подписать потом письмо вместе с ключом? Замена содержимого приведет к потере целостности и нарушению подписи.
                                                • +1

                                                  Если открытый ключ получать вместе с письмом, то тогда заменят содержимое текста письма, укажут там другой открытый ключ и успешно подпишут им новое сообщение. Чтобы ключ не подменили, его (или его отпечаток) надо надежно передать или широко опубликовать. Например, через key server (https://pgp.mit.edu/), постоянно указывая в письмах в списки рассылок, или подписав сертификат открытого ключа в одном из множества центров сертификации (как это делают в https — корневые ключи предустановлены с ОС и Firefox). Примеры PSIRT ключей



                                                  Многие CERT публикуют свои ключи на https://www.first.org/members/teams/

                                              • 0
                                                Можно, в частности, положиться на DKIM.
                                          • –1
                                            Не думаю, что это случайность, сотрудник, который имеет работу с системами шифровки данных, должен хорошо в этом разбираться. Думаю, что теперь Adobe будет более cерьёзно ставиться к работе сотрудников.

                                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.