|
資料: Sophos提供 |
Sophosは9月23日(米国時間)、「Adobe security team posts public key – together with private key」において、Adobe Systemsのプロダクトセキュリティインシデント対応チーム(Product Security Incident Response Team; PSIRT)が誤って公開鍵のみならず秘密鍵もブログに掲載していたと指摘した。記事では公開されたデータはもう信用できないので利用しないことや、似たような過ちを犯さないように注意を呼びかけている。
暗号通信を実施するためにPGPやGPGなどのツールを使うことがある。こうしたツールでは公開鍵と秘密鍵の双方を使って暗号通信を行っており、公開鍵は広く公開しても問題がない一方、秘密鍵は外部に漏らしてはならないとされている。しかし、Adobe Systemsのプロダクトセキュリティインシデント対応チームは誤って公開鍵と同時に秘密鍵も公開。1年という鍵のアップデートのタイミングでこのミスを犯してしまったのだろうと指摘されている。
ツールによって生成される秘密鍵と公開鍵は連続して表示されることがあり、気をつけて扱わないと今回のように誤って秘密鍵まで公開してしまうことがある。これは誰でも起こす可能性のあるヒューマンエラーであり、利用には注意が必要。
