کلید رمزگذاری PGP در وبلاگ محصولات Adobe

تیم امنیتی محصولات نرم افزاری Adobe به طور تصادفی کلید خصوصی رمزگذاری PGP خود را در وبلاگش قرار داد.

گروه فناوری _ چند هفته گذشته برای نقض اطلاعات یک کابوس بوده است، بنابراین اخبار خوب: یکی مشکل امنیتی دیگر که به راحتی قابل پیشگیری است، وجود دارد. Ars Technica گزارش داد که تیم امنیتی واکنش به حوادث محصولات Adobe، کلید رمزگذاری خصوصی PGP را که برای رمزگشایی پیام‌های کدگذاری شده که با استفاده از کلید عمومی PGP به آن‌ها ارسال می‌شود، این هفته به طور تصادفی در حساب ایمیل psirt@adobe.com خود منتشر کرد.

به گزارش بولتن نیوز ، این اشتباه نخستین بار در بعد از ظهر روز جمعه توسط Juho Nurminen محقق امنیتی مورد توجه قرار گرفت، که وی این موضوع را در توییتر با عنوان "Oh shit Adobe" نوشت.

PGP، که مخفف Pretty Good Privacy می‌باشد، یک روش برای ارسال پیام‌های رمزنگاری با امنیت نزدیک به امنیت دولتی است. کاربران PGP دو کلید دریافت می‌کنند: یک کلید عمومی PGP که با یک آدرس ایمیل یا نام کاربری مرتبط است و پیام‌های ورودی را رمزگذاری می‌کند و یک کلید خصوصی که فقط توسط گیرنده برای رمزگشایی پیام‌ها شناخته و استفاده می‌شود.

شانتانو نارایان مدیر اجرایی Adobe در نشست سال 2017 در لاس وگاس

فقط دانستن کلید خصوصی PGP به خودی خود اجازه نمی‌دهد که یک کاربر مخرب، حساب ایمیل مربوط به Adobe را که ممکن است لایه‌های امنیتی دیگری داشته باشد، نقض کند. اما همان طور که اشاره شد، فاش شدن کلید می‌تواند مشکلات دیگری برای Adobe ایجاد کند، زیرا از آدرس ایمیل برای گزارش نقص‌های امنیتی بحرانی به محصولات خود استفاده می‌کند:

مهاجم با استفاده از کلید خصوصی می‌تواند پیام‌های امضا شده توسط PGP را از Adobe حذف کند. علاوه بر این، کسی با توانایی ردیابی ایمیل‌ها - مانند کسانی که جزئیات گزارش‌های آسیب‌پذیری امنیتی قابل استفاده در فلش را فقط برای چشم‌های Adobe به کار می‌برند – می‌تواند از کلید برای رمزگشایی پیام‌هایی استفاده کند که ممکن است شامل مواردی مانند، افشای آسیب‌پذیری حمله روز صفر باشد.

طبق گفته Ars Technica، مشکل زمانی ظاهر شد که یک کارمند Adobe یک فایل متنی حاوی کلید عمومی PGP را با استفاده از Mailvelope، یک مرورگر معمولی، پست کرد. سپس آن‌ها فراموش کردند تا بخشی از فایل متنی صادر شده که حاوی کلید خصوصی بود را پاک کنند.

سیستم PGP خیلی کاربر پسند نیست - این حرفی کاملا صریح و بسیار تند است اما باید گفت که این هنوز هم یک اشتباه نسبتا بزرگ است. پست اصلی تا کنون حذف شده و با یک کلید جدید جایگزین شده است، بنابراین امیدواریم در زمان کوتاهی که در سایت وجود داشت آسیبی به وجود نیاورده باشد. بدیهی است که در هفته‌های اخیر، مشکلات امنیتی با امنیت دیجیتال بسیار بدتر از این حادثه کوچک وجود داشته است، بنابراین احتمال می‌توان به Adobe در این مورد سخت نگرفت.

منبع: https://gizmodo.com

https://gizmodo.com/adobes-product-security-team-accidentally-posted-its-pr-1818694133

گروه ترجمه بولتن نیوز

برای مشاهده مطالب IT ما را در کانال بولتن IT دنبال کنیدbultanit@

لینک کپی شد

گزارش خطا