انتشار کلید خصوصی ادوبی به همراه کلید عمومی

خلاصه: اکثر تیم‌های امنیتی کلید‌های رمزنگاری را برای این‌که بتوانید با آن‌ها با استفاده از ابزارهای رمزنگاری کلید عمومی مانند PGP یا GPG به صورت امن ارتباط برقرار کنید منتشر می‌کنند. برای رمزنگاری کلید عمومی، از دو کلید رمزنگاری استفاده می‌شود: یک کلید عمومی برای رمز کردن که منتشر می‌شود و یک کلید خصوصی برای رمزگشایی که خصوصی می‌ماند. ادوبی این جفت کلید را برای جایگزینی با کلیدهای قبلی در چند روز اخیر تولید کرده و به جای اینکه فقط کلید عمومی را منتشر کند هر دو کلید خصوصی و عمومی را منتشر کرد.

اکثر تیم‌های امنیتی کلید‌های رمزنگاری را برای این‌که بتوانید با آن‌ها با استفاده از ابزارهای رمزنگاری کلید عمومی مانند PGP یا GPG به صورت امن ارتباط برقرار کنید منتشر می‌کنند.

رمزنگاری کلید عمومی، به عنوان یک رمزنگاری نامتقارن از دو کلید رمزنگاری استفاده می‌کند: یک کلید عمومی برای رمزکردن فایل و یک کلید خصوصی برای رمزگشایی آن.  بنابراین از نام‌گذاری آن نیز مشخص است که کلید عمومی برای قفل کردن فایل است و شما آن را به صورت "عمومی" به اشتراک می‌گذارید و هرکسی می‌تواند با استفاده از آن داده‌ها را رمز کرده و به صورت امن برای شما ارسال کند. و کلید "خصوصی" برای رمزگشایی داده‌هایی است که با استفاده از کلید عمومی شما رمز شده‌اند، و تا زمانی که شما از آن نگهداری می‌کنید فقط شما می‌توانید داده‌ها را با استفاده از آن رمزگشایی کنید. بنابراین شما کلید عمومی را منتشر کرده و کلید خصوصی را خصوصی نگه می‌دارید.

کلیدهای PGP/GPG زمانی که به فرمت متن برای ذخیره‌ و استفاده‌ی آسان تبدیل می‌شوند، شبیه چنین چیزی به نظر می‌رسند:

PSIRT PGP Key ‪(0x33E9E596)‬

-----BEGIN PGP PUBLIC KEY BLOCK-----

Version: Mailvelope v1.‎8.‎0

Comment: https://www.mailvelope.com

 

[redacted]

 

-----END PGP PUBLIC KEY BLOCK-----

 

-----BEGIN PGP PRIVATE KEY BLOCK-----

Version: Mailvelope v1.‎8.‎0

Comment: https://www.mailvelope.com

 

[redacted]

 

-----END PGP PRIVATE KEY BLOCK----- 

 

وقتی که می‌خواهید کلید عمومی خود را برای کسی ارسال کنید بلوک‌های ---BEGIN---  و ---END--- به عنوان نشان‌هایی به شما کمک می‌کنند که قسمت درست را کپی کنید.

به نظر می‌رسد که ادوبی جفت کلید بالا را در چند روز گذشته تولید کرده و به آن‌ها یک دوره‌ی زمانی یک ساله را برای جایگزینی کلید‌های حذف‌شده‌ی سال گذشته اختصاص داده است.

مسلماَ یک کلید عمومی جدید تا زمانی که به صورت عمومی منتشر نشود قابل استفاده نخواهد بود، بنابراین ادوبی آن را برای استفاده‌ی کاربران بر روی بلاگ PSIRT منتشر کرد. البته به جای اینکه فقط کلید عمومی را منتشر کند هردو کلید عمومی و کلید خصوصی را با هم منتشر کرد.

کسی که کلید خصوصی ادوبی را دارد نه‌تنها می‌تواند پیام‌هایی را ارسال کند که ظاهرا مورد تصویب ادوبی است، بلکه می‌تواند پیام‌هایی که مردم ارسال می‌کنند را نیز رمزگشایی کند.

خوشبختانه کلید خصوصی ادوبی (که قبلا لغو شده‌است) خودش با یک عبارت دیگر رمزنگاری شده‌بود و نمی‌شد از آن بدون کد رمزگشایی، استفاده کرد، اما به هرحال کلید‌های خصوصی نباید حتی در فرم رمزشده نیز به صورت عمومی فاش شوند.

توصیه‌ها:

• از کلید عمومی ادوبی با اثرانگشت PGP نشان داده شده در زیر برای ارسال اطلاعات به PSIRT استفاده نکنید.
• به پیام‌هایی که با کلید افشا‌ شده امضا شده‌است، اعتماد نکنید. (هرچند که در این مورد کلید خصوصی به صورت رمزنگاری‌شده منتشر شده بود.)
• اگر از ابزارهای رمزنگاری کلید عمومی استفاده می‌کنید، خودتان این اشتباه را انجام ندهید. (کلید عمومی را عمومی و کلید خصوصی را خصوصی نگه‌دارید.)

Key details:

   Adobe PSIRT <psirt@adobe.com>

       public key:   4096R/AF877616 2017-09-18 ‪[expires: 2018-09-18]‬

       fingerprint:  3EF4 735A 73A6 7BFB DCC1  1BC9 86C0 0FC2 AF87 7616