Die kuberkrakers het 'n kenmerk van die OpenPGP-protokol gebruik wat al meer as tien jaar bekend is.
Ons vertel jou wat die punt is en hoekom hulle dit nie kan sluit nie.
/Unsplash/
Netwerk probleme
Middel Junie, onbekend
Kuberkrakers het die sertifikate van twee GnuPG-projekonderhouers, Robert Hansen en Daniel Gillmor, in gevaar gestel. Die laai van 'n korrupte sertifikaat vanaf die bediener veroorsaak dat GnuPG misluk - die stelsel vries eenvoudig. Daar is rede om te glo dat die aanvallers nie daar sal stop nie, en die aantal gekompromitteerde sertifikate sal net toeneem. Op die oomblik is die omvang van die probleem onbekend.
Die kern van die aanval
Hackers het voordeel getrek uit 'n kwesbaarheid in die OpenPGP-protokol. Sy is al dekades lank aan die gemeenskap bekend. Selfs op GitHub
'n Paar keuses uit ons blog op Habré:
Volgens die OpenPGP-spesifikasie kan enigiemand digitale handtekeninge by sertifikate voeg om hul eienaar te verifieer. Boonop word die maksimum aantal handtekeninge op geen manier gereguleer nie. En hier ontstaan 'n probleem - die SKS-netwerk laat jou toe om tot 150 duisend handtekeninge op een sertifikaat te plaas, maar GnuPG ondersteun nie so 'n nommer nie. Dus, wanneer die sertifikaat gelaai word, vries GnuPG (sowel as ander OpenPGP-implementerings).
Een van die gebruikers
$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1
$ ls -lh pubring.gpg
-rw-r--r-- 1 filippo staff 17M 2 Jul 16:30 pubring.gpg
Om sake te vererger, verwyder OpenPGP-sleutelbedieners nie sertifikaatinligting nie. Dit word gedoen sodat jy die ketting van alle aksies met sertifikate kan naspeur en die vervanging daarvan kan voorkom. Daarom is dit onmoontlik om gekompromitteerde elemente uit te skakel.
In wese is die SKS-netwerk 'n groot "lêerbediener" waarna enigiemand data kan skryf. Om die probleem te illustreer, verlede jaar GitHub inwoner
Hoekom is die kwesbaarheid nie gesluit nie?
Daar was geen rede om die kwesbaarheid te sluit nie. Voorheen is dit nie vir hacker-aanvalle gebruik nie. Alhoewel die IT-gemeenskap
Om eerlik te wees, is dit opmerklik dat hulle in Junie nog steeds
/Unsplash/
Wat die fout in die oorspronklike stelsel betref, verhoed 'n komplekse sinchronisasiemeganisme dat dit reggestel word. Die sleutelbedienernetwerk is oorspronklik geskryf as 'n bewys van konsep vir Yaron Minsky se PhD-proefskrif. Boonop is 'n taamlik spesifieke taal, OCaml, vir die werk gekies. Deur
GnuPG glo in elk geval nie dat die netwerk ooit reggemaak sal word nie. In 'n plasing op GitHub het die ontwikkelaars selfs geskryf dat hulle nie aanbeveel om met SKS Keyserver te werk nie. Eintlik is dit een van die hoofredes waarom hulle die oorgang na die nuwe diens keys.openpgp.org begin het. Ons kan net die verdere ontwikkeling van gebeure dophou.
'n Paar materiaal van ons korporatiewe blog:
Bron: will.com