<div>What would have prevented a state level actor from activating this exploit on a wide level during a time when it would have been most effective for them?  I have to believe that the fine folks who can put an APT in your air-gapped computer’s video card bios have been aware of this attack for quite some time and probably have an entire laundry list of other similarly devastating attacks. </div><div><br></div><div id="protonmail_mobile_signature_block"><div>-Ryan McGinnis<br>http://bigstormpicture.com<br>PGP: 486ED7AD<br>Sent with ProtonMail Secure Email</div></div> <div><br></div><div><br></div>On Sun, Jun 30, 2019 at 03:19, Robert J. Hansen <<a href="mailto:rjh@sixdemonbag.org" class="">rjh@sixdemonbag.org</a>> wrote:<blockquote class="protonmail_quote" type="cite">  > How bad could this get?<br><br>(I am sputteringly angry over this entire thing: please understand this<br>and give a charitable read to what I write.  I appreciate it.)<br><br>Hard to say.<br><br>One of the big problems we have is the size of the existing codebase.<br>Once people have GnuPG installed people overwhelmingly like to leave it<br>alone.  We still get people coming onto this list asking for support<br>with GnuPG *1.2*.  So for these installations, these "we're going to<br>install it and forget it"s?<br><br>They're screwed.  Sooner or later they'll import a poisoned certificate,<br>GnuPG will get wedged, and it will appear as if GnuPG just stopped<br>working.  It might happen tomorrow or it might happen in five years.  We<br>don't know, but it will happen.<br><br>There are other groups that run human networks in dangerous places.<br>(There are many of them: Medicins Sans Frontiers, Reuters, and more.)<br>The people who are running around Syria treating casualties or doing<br>political news reporting from Gaza are overwhelmingly not computer<br>nerds.  They know they're supposed to run "gpg --refresh-keys" from time<br>to time to get the latest revocations.  They do it this time, and GnuPG<br>breaks horribly.  Odds are good they'll say "sod this, I can't trust<br>this crap" and throw it away.<br><br>There are a ton of tiny little poorly-maintained systems in<br>out-of-the-way places that get completely overlooked until things break.<br> Those, too, have good odds of getting wedged the first time they<br>encounter a poisoned certificate.<br><br>The next version of Enigmail will no longer use the SKS network by<br>default.  Great!  But what about existing Enigmail users?  They'll see a<br>signature, click "Import Key", and ... bam.  They're likely not going to<br>think that someone's performing a malicious attack by poisoning<br>certificates: they're going to think "this is crap" and walk away.<br><br>Right now only three certificates are known to be affected: mine, dkg's,<br>and Kristian's.  I expect that number to rise, either due to the<br>original jerk figuring this is fun, or due to copycats getting in on the<br>action.<br><br>_______________________________________________<br>Gnupg-users mailing list<br>Gnupg-users@gnupg.org<br>http://lists.gnupg.org/mailman/listinfo/gnupg-users<br></blockquote><div><br></div><div><br></div>