Github 为什么会允许任何人下载你的 public key?

2015-08-05 22:18:14 +08:00
 20150517

比如linus torvalds的公钥
https://github.com/torvalds.keys

公钥泄露了是没什么大问题,但是别人却可以这样鉴别你的身份,为什么github要这么设计,用处在哪?

5412 次点击
所在节点    问与答
43 条回复
typcn
2015-08-05 22:19:01 +08:00
jybox
2015-08-05 22:21:52 +08:00
只有公钥(里面不包含你在 Github 上的备注)没有任何危害的,不然你可以想一想攻击者可以用这些公钥做什么。
20150517
2015-08-05 22:24:45 +08:00
2048位的公钥是真算不出私钥吗?云计算也不行?把linus私钥搞到,是不是可以植入代码到linux kernel里了,控制全世界了?
freeznet
2015-08-05 22:27:32 +08:00
今天刚好有人利用github的key数据和ssh的特性写了个PoC, 感兴趣的可以试试 ssh whoami.filippo.io 就能看到一些好玩的信息了
同时也可以看看 https://blog.benjojo.co.uk/post/auditing-github-users-keys 这篇文章
20150517
2015-08-05 22:37:31 +08:00
@jybox 要是碰撞了呢?
elvodn
2015-08-05 22:43:58 +08:00
公钥不就是为了让别人验证身份的吗
Tink
2015-08-05 22:46:35 +08:00
对啊,我也好好奇公钥不就是为了让别人鉴别的么。。?
TrustyWolf
2015-08-05 22:48:34 +08:00
@20150517 目前已知碰撞出来的最长位数貌似是700多,1024位的基本都是安全的,Github说明文档的推荐值是4096位,这已经是变态级别的了。
AstroProfundis
2015-08-05 22:49:39 +08:00
PUBLIC key
20150517
2015-08-05 22:50:58 +08:00
@elvodn
@Tink

问题不是公钥泄露有什么问题,问题是github为什么要把你公钥显示在网站上?
jetbillwin
2015-08-05 22:51:06 +08:00
You know, it's public key man.
iptux
2015-08-05 22:52:05 +08:00
已从 2048 位全面升级至 8192 位
qinix
2015-08-06 00:35:13 +08:00
公钥本来不就是应该公开发布出来的么,以前发pgp加密邮件的时候、验证签名、解密都是用公钥
9hills
2015-08-06 00:40:02 +08:00
@20150517 算不出,能算出请去拿图灵
9hills
2015-08-06 00:41:22 +08:00
@20150517 我以前把GPG公钥放博客上。。。

这个没啥吧。
20150517
2015-08-06 00:44:28 +08:00
@9hills 可我问的不是公钥安不安全啊?
msg7086
2015-08-06 00:55:08 +08:00
@20150517 公钥的目的就是公开。
不公开就失去了公钥的目的了。
很难理解么。
ryd994
2015-08-06 01:18:56 +08:00
不公开叫什么公钥
yangff
2015-08-06 01:20:06 +08:00
@20150517 公开了才知道这个公钥是你的啊。。不然公开了干嘛。。
20150517
2015-08-06 01:27:53 +08:00
@msg7086 我当然知道是为了公开,公开的用处是?我问的是怎么使用这个功能?为什么很多人没看懂问题就开始说公钥就是为了公开这种废话。。。

@yangff
@ryd994

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/211088

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX