Adobe竟然把签名密钥直接公开了,这样是否代表这任何人可以伪造Adobe推送消息?可能会造成哪些影响?特别是在中国这个遍地盗版的环境内?作为普通用户应该如何应对?
感谢邀请!
据外媒报道,今年7月,Adobe没能逃过在正式发布之前不小心对Creative Cloud用户开放了Project Nimbus Preview事件所带来的影响。现在,看起来这家公司的内部安全团队也要因为某些人为因素走到聚光灯下。据了解,日前,Adobe产品安全事件响应团队(PSIRT)在发布了PGP公共密匙还把私人密匙也公布了出来,这意味着该PGP签名不再安全,获得密匙的人则能借此盗取邮箱的通信内容。
安全研究员Juho Nurminen确认曝光的密匙跟psirt@adobe.com邮箱账号存在关联。
种种迹象表明,此次的意外事件应该跟团队成员的失误有关,当时他应该是通过Chrome或Firefox插件Mailvelope将FSIRT共享网页邮件账号的文本文件分享到团队的博客上。看起来该名成员将本应该点击的“公共(public)”点成了“所有(all)”,于是,公共密匙和私人密匙都被发布到了Adobe的PSIRT博客上。
然而尽管这似乎是人为错误,但私人密匙的泄露仍旧呈现了一个相当严重的问题。
目前,Adobe已经移除了这组曝光的密匙并更换了一个新的公共密匙。
曝光的密钥主要是是用于psirt@adobe.com(psirt=产品安全事件响应小组)收件的一组公钥和私钥,供安全漏洞报告者选择与官方保密通信,避免邮箱提供方和沿途(如果邮件传输未用TLS)可见。创建时间是2017年9月18日,是想公布一组新公钥到博客,但复制时误点了所有(公钥+私钥)。既然是新创建、已报道、官网已删除,应该极少被使用而无安全影响,只影响Adobe的声誉(内部管理/操作规程/工作态度,及“假”新闻)。
