Des cas concrets de pourquoi il ne faut jamais faire confiance aux ID courts quand on manipule des clés OpenPGP et pourquoi il faut toujours utiliser les empreintes des clés dans leur intégralité.
Il y a peu de temps on m’a signalé que ma clef GPG avait été révoquée. J’ai regardé. Ce n’est pas le cas. Une mise à jour des clefs via les serveurs de clefs m’a rapatrié une clef publique associée à mon mail [...] Les identifiants des deux clefs sont identiques, les mails associés également, cela prête donc à confusion..
Les différences
[...]
- Les signatures de la clef : si on regarde, la fausse clef n’a jamais été signée par personne. La mienne a été signée par un certain nombre de personnes comme on peut le voir facilement sur les serveurs de clef. D’où l’importance de Les Key signing party et de constituer une toile de confiance
C'est parfois plus vicieux que cela (https://twitter.com/aeris22/status/766305902425174016 ) :
Suite à l’article de @genma, j’ai checké mes clefs GPG. J’ai un cas BEAUCOUP plus craignos avec une de mes clefs… La fausse clef est signée avec de fausses clefs aussi, sur 4 niveaux de profondeurs. Ça mirror les signatures de ma VRAIE clefs. Et au bout du niveau 4, les clefs commencent à être signées par de VRAIES connaissances des identités en question. Signatures qui n’existent pas sur les clefs véritables… Les clefs en question ont été valides 2 ans avant d’être révoquées…
Retournons sur l'article de Genma.
A quoi ça sert ?
Comme il est assez aisé de générer une clé dont la fin de l’empreinte est similaire, le but est alors de se faire passer pour la personne. Dans ce, cas, se faire passer pour moi.
On envoie un mail avec mon mail en expéditeur, on peut signer le mail avec GPG et la personne qui reçoit ce mail, si elle ne vérifie pas correctement et si elle récupère cette fausse clef, croit que je suis bien l’expéditeur. Bah oui, j’ai signé avec GPG, le mail sera considéré comme signé et donc sûr, vrai. Alors que c’est faux. Et si on met un lien de hameçonnage / phishing dans le mail, la personne étant en confiance, elle sera plus enclin à cliquer dessus...
[...]
Comment est-ce possible ?
Les GPU (processeur des cartes graphiques) sont de plus en plus performants, sont très puissants pour faire des calculs mathématiques en parallèle (pour les jeux vidéos) et on peut utiliser cette puissance pour faire d’autres calculs. Une clef GPG, ce n’est que de l’application de mathématique...
Benjamin Sonntag le disait sur son Twitter : Et y’en a même qui se sont amusés à créer des clés au short-id = aux clés PGP les plus signées https://evil32.com
A regarder par les personnes anglophones et sensibilisées / intéressés par cette problématique les sites https://evil32.com et https://github.com/lachesis/scallion (Scallion est un outil qui permet de générer des clefs GPG et des adresses .onion via le processeur de la carte graphique).
Le but est donc de générer un certain nombre de clefs jusqu’à trouver une clef ayant une fin d’empreinte correspondant à la fin de l’empreinte de la clef GPG que l’on veut pour faire l’usurpation.