夸张! Adobe意外将PGP加密公、私金钥公布于网路上

安全研究人员Juho Nurminen发现Adobe产品安全事件回应小组竟将PGP加密公私金钥以明文公布于部落格。

翻摄自Juho Nurminen的推特

Adobe上周不慎将PGP加密的公、私密金钥以明文张贴在公司部落格上，引起使用者一阵议论。所幸及时发现后Adobe已经将金钥取消，并颁布新的金钥。
 
安全研究人员Juho Nurminen上周五首先发现Adobe产品安全事件回应小组（PSIRT）不慎搞出的乌龙。他也证实金钥的确是用于psirt@adobe.com的电邮信箱。
 
PGP（Pretty Good Privacy）是一套用于讯息加密、验证的应用程式，採用IDEA的杂凑演算法进行加密和验证。
 
从贴出的文字可以推断，可能是Adobe小组成员利用Chrome及Firefox的扩充程式Mailvelope将包含PGP金钥的文字档从该小组共同帐号汇出到小组部落格。然而原本汇出的应该只有公开金钥，但却在无意间连私钥也公布出来。一旦私钥被有心人拿到，他就可以冒充Adobe PSIRT小组的人发出网钓信件、解密Adobe机密资讯，像是尚未修补的漏洞等。
 
Adobe并未正式说明此事，但于周五将包含金钥的文章自该公司部落格撤下，一度还被Google快取存下。所幸Adobe迅速取消了旧金钥，发布更新的PGP金钥。