[bglug] Grave bug in Gpg ????

./SuperbepS superbeps@bglug.it
Lun 1 Dic 2003 11:53:08 CET 

Attenzione... non revocate le vostre chiavi GPG prima di aver letto questa 
mail (o questa
http://lists.gnupg.org/pipermailgnupg-announce/2003q4/000276.html )...
Questo bug affligge solo ed esclusivamente le chiavi ElGamal per cifratura e 
firma e non le DSA/ElGamal o RSA/ElGamal. 
Come potete fare a riconoscere di che tipo e' la vostra chiave???
Bhe innanzitutto vi dico che di default GPG crea delle chiavi DSA/ElGamal 
quindi non vulnerabili e inoltre l'opzione per creare chiavi ElGamal e' 
nascosta, per questo motivo al 99% potreste gia' ritenervi soddisfatti.
Ma per essere piu' sicuri potete fare questo controllo:

beppe@panino beppe $ gpg --list-keys
/home/beppe/.gnupg/pubring.gpg
------------------------------
pub  1024D/D1D60FB5 2002-07-31 ./SuperbepS <superbeps@bglug.it>
uid                            ./SuperbepS <superbeps@linux.nu>
uid                            ./SuperbepS <superbeps@lombardiacom.it>
sub  1024g/54B9071B 2002-07-31 [expires: 2004-07-17]


Ovviamente vi ho lasciato solo il pezzo di una mia chiave...
come potete vedere e' una DSA/ElGamal e quindi corretta e quindi non e' 
necessaria la revoca.
Praticamente per identificare una chiave ElGamal vulnerabile dovete cercare 
una G maiuscola dopo la dimensione della chiave.
Se aveste invece avuto una situazione di questo tipo:

beppe@panino beppe $ gpg --list-keys
/home/beppe/.gnupg/pubring.gpg
------------------------------
pub  1024D/D1D60FB5 2002-07-31 ./SuperbepS <superbeps@bglug.it>
uid                            ./SuperbepS <superbeps@linux.nu>
uid                            ./SuperbepS <superbeps@lombardiacom.it>
sub  1024g/54B9071B 2002-07-31 [expires: 2004-07-17]
sub  1024G/5XXXXXX 2002-07-31 [expires: 2004-07-17]

La sottochiave 5XXXXXXX sarebbe stata una ElGamal signing+encrypt (come potete 
vedere dalla G maiuscola dopo 1024!), quindi da revocare!

Spero di essere stato utile e di evitare una quantita' di revoche pazzesca!

-- 
Si vis pacem, para bellum; Si vis potam, para ocellum
___________________________________________________________
Kareen: "Are you a Romulan?"
Worf: [Growls] "Hardly."
-- "The Schizoid Man", Stardate 42437.5

Maggiori informazioni sulla lista bglug