El equipo de incidentes de seguridad de Adobe PSIRT publico accidentalmente una clave PGP privada en su blog una vez descubierto el problema la revoco rapidamente
El viernes 22 de septiembre, PSIRT Adobe actualiza su clave de Pretty Good Privacy (PGP) y publico la nueva clave publica en el blog. La nueva clave deberia haber sido valido hasta septiembre de 2018, pero algo raro ha sucedido. El experto en seguridad Juho Nurminen indicar en primer lugar que el desplazamiento hacia abajo de la entrada del blog que contiene no estaban presentes ambas claves PGP publicas y privadas. En una infraestructura PKI, los mensajes que se envian al destinatario estan cifrados con la clave publica que ha compartido (en el caso de Adobe se publico en el blog), y solo el destinatario legitimo puede leer mediante el uso de la clave PGP privada asociada.La divulgacion accidental de la clave privada podria haber permitido que cualquiera pueda descifrar los mensajes cifrados enviados por los usuarios de la empresa.
La clave PGP Adobe se ha generado utilizando Mailvelope, una popular extension del navegador de codigo abierto para OpenPGP.
Mailvelope permite a los usuarios exportar ya sea la clave publica, la clave privada, o ambos seleccionando la opcion Todos. El empleado de Adobe que exporto la clave publica PGP probable seleccionada la opcion Todos y copiar los datos generados sin darse cuenta de que estaba compartiendo la clave PGP privada.
Adobe ha eliminado con prontitud a la entrada del blog y revocado la clave privada comprometida, pero era demasiado tarde porque todavia es posible encontrar copia del mensaje en linea. Adobe ha generado un nuevo par de claves, y esta vez evitando el uso de Mailvelope, pero utilizando GPGTools.
Fecha actualizaci?n el 2017-9-25. Fecha publicaci?n el 2017-9-25. Categor?a: Amazon. Autor: Oscar olg Mapa del sitio Fuente: securityaffairs