<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div dir="ltr"><div>Hi,</div><div><br></div></div><div dir="ltr">On 3 Jul 2019, at 02:31, Arthur D. Edelstein <<a href="mailto:arthuredelstein@gmail.com">arthuredelstein@gmail.com</a>> wrote:<br></div><blockquote type="cite"><div dir="ltr"><span></span><br><span>Someone pointed me to the following post by Robert J Hansen:</span><br><span><a href="https://gist.github.com/rjhansen/67ab921ffb4084c865b3618d6955275f">https://gist.github.com/rjhansen/67ab921ffb4084c865b3618d6955275f</a></span><br><span></span><br><span>Below that post, there are a couple of comments indicating that at</span><br><span>least two of Tor's signing keys listed in</span><br><span><a href="https://2019.www.torproject.org/docs/signing-keys.html.en">https://2019.www.torproject.org/docs/signing-keys.html.en</a></span><br><span>have been poisoned by this attack, including the Tor Browser</span><br><span>Developers key and Tor Project Archive key. We're wondering if all of</span><br><span>the keys on that page have been affected. (I haven't had a chance to</span><br><span>learn about this attack or how to check other keys, but I wanted to</span><br><span>share this ASAP.)</span><br></div></blockquote><div><br></div>Here's how you can mitigate the attack in your local GPG config:<div><ol style="box-sizing: border-box; margin-bottom: 16px; margin-top: 0px; padding-left: 2em;"><li style="box-sizing: border-box;"><span style="background-color: rgba(255, 255, 255, 0);">Open <code style="box-sizing: border-box; border-top-left-radius: 3px; border-top-right-radius: 3px; border-bottom-right-radius: 3px; border-bottom-left-radius: 3px; margin: 0px; padding: 0.2em 0.4em;">gpg.conf</code> in a text editor. Ensure there is no line starting with <code style="box-sizing: border-box; border-top-left-radius: 3px; border-top-right-radius: 3px; border-bottom-right-radius: 3px; border-bottom-left-radius: 3px; margin: 0px; padding: 0.2em 0.4em;">keyserver</code>. If there is, remove it.</span></li><li style="box-sizing: border-box; margin-top: 0.25em;"><span style="background-color: rgba(255, 255, 255, 0);">Open <code style="box-sizing: border-box; border-top-left-radius: 3px; border-top-right-radius: 3px; border-bottom-right-radius: 3px; border-bottom-left-radius: 3px; margin: 0px; padding: 0.2em 0.4em;">dirmngr.conf</code> in a text editor. Add the line <code style="box-sizing: border-box; border-top-left-radius: 3px; border-top-right-radius: 3px; border-bottom-right-radius: 3px; border-bottom-left-radius: 3px; margin: 0px; padding: 0.2em 0.4em;">keyserver hkps://keys.openpgp.org</code> to the end of it.</span></li></ol><div><div><a href="https://gist.github.com/rjhansen/67ab921ffb4084c865b3618d6955275f#mitigations">https://gist.github.com/rjhansen/67ab921ffb4084c865b3618d6955275f#mitigations</a></div></div></div><div><br></div><div>Here's how you can check your keyring for broken keys:</div><div><a href="https://gist.github.com/Disasm/dc44684b1f2aa76cd5fbd25ffeea7332">https://gist.github.com/Disasm/dc44684b1f2aa76cd5fbd25ffeea7332</a></div><div>(You'll also need to do a sort -n and look for keys with a large number of</div><div>signatures: 150,000 is the SKS limit, 100-1000 is typical.)</div><div><br></div><div>There doesn't seem to be any easy way to fix the SKS servers themselves.</div><div><br></div><div>T</div></body></html>