ጠላፊዎቹ ከአስር አመታት በላይ የሚታወቀውን የOpenPGP ፕሮቶኮል ባህሪን ተጠቅመዋል።
ነጥቡ ምን እንደሆነ እና ለምን መዝጋት እንደማይችሉ እንነግርዎታለን.
/ ንቀል/
የአውታረ መረብ ችግሮች
በሰኔ አጋማሽ ላይ, ያልታወቀ
ሰርጎ ገቦች የሁለት GnuPG ፕሮጄክት ጠባቂዎችን የሮበርት ሀንሰን እና የዳንኤል ጊልሞርን ሰርተፍኬት ጥሰዋል። የተበላሸ የምስክር ወረቀት ከአገልጋዩ መጫን GnuPG ውድቀትን ያስከትላል - ስርዓቱ በቀላሉ ይቀዘቅዛል። አጥቂዎቹ እዚያ እንደማይቆሙ ለማመን የሚያበቃ ምክንያት አለ, እና የተበላሹ የምስክር ወረቀቶች ቁጥር ይጨምራል. በአሁኑ ጊዜ የችግሩ ስፋት አይታወቅም.
የጥቃቱ ይዘት
ጠላፊዎች በOpenPGP ፕሮቶኮል ውስጥ ያለውን ተጋላጭነት ተጠቅመዋል። ለብዙ አሥርተ ዓመታት በማህበረሰቡ ዘንድ ትታወቃለች። በ GitHub ላይ እንኳን
ከብሎጋችን ሀበሬ ሁለት ምርጫዎች፡-
በOpenPGP ዝርዝር መሰረት ማንኛውም ሰው ባለቤታቸውን ለማረጋገጥ ዲጂታል ፊርማዎችን በእውቅና ማረጋገጫዎች ላይ ማከል ይችላል። ከዚህም በላይ ከፍተኛው የፊርማዎች ቁጥር በምንም መልኩ ቁጥጥር አይደረግበትም. እና እዚህ አንድ ችግር ተፈጥሯል - የ SKS አውታረመረብ በአንድ የምስክር ወረቀት ላይ እስከ 150 ሺህ ፊርማዎችን እንዲያስቀምጡ ይፈቅድልዎታል, ግን GnuPG እንደዚህ አይነት ቁጥር አይደግፍም. ስለዚህ, የምስክር ወረቀቱን በሚጭኑበት ጊዜ GnuPG (እንዲሁም ሌሎች የ OpenPGP ትግበራዎች) ይቀዘቅዛሉ.
ከተጠቃሚዎች አንዱ
$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1
$ ls -lh pubring.gpg
-rw-r--r-- 1 filippo staff 17M 2 Jul 16:30 pubring.gpg
ይባስ ብሎ የOpenPGP ቁልፍ አገልጋዮች የእውቅና ማረጋገጫ መረጃን አያስወግዱም። ይህ የሚደረገው የሁሉንም ድርጊቶች ሰንሰለት በእውቅና ማረጋገጫዎች ለመከታተል እና የእነሱን ምትክ ለመከላከል ነው. ስለዚህ, የተበላሹ ንጥረ ነገሮችን ማስወገድ የማይቻል ነው.
በመሠረቱ፣ የኤስኬኤስ አውታረመረብ ማንኛውም ሰው ውሂብ የሚጽፍበት ትልቅ “ፋይል አገልጋይ” ነው። ችግሩን ለማሳየት ባለፈው አመት የጊትህብ ነዋሪ
ለምን ተጋላጭነቱ አልተዘጋም?
ተጋላጭነቱን የሚዘጋበት ምንም ምክንያት አልነበረም። ከዚህ ቀደም ለጠላፊ ጥቃቶች ጥቅም ላይ አልዋለም ነበር. የአይቲ ማህበረሰብ ቢሆንም
ለትክክለኛነቱ, በሰኔ ወር ውስጥ አሁንም መኖራቸውን ልብ ሊባል የሚገባው ነው
/ ንቀል/
በዋናው ስርዓት ውስጥ ስላለው ስህተት, ውስብስብ የማመሳሰል ዘዴ እንዳይስተካከል ይከላከላል. ቁልፍ የአገልጋይ አውታረመረብ በመጀመሪያ የተፃፈው ለያሮን ሚንስኪ ፒኤችዲ ተሲስ የፅንሰ-ሀሳብ ማረጋገጫ ነው። በተጨማሪም፣ ለሥራው የተለየ ቋንቋ፣ OCaml ተመርጧል። በ
በማንኛውም ሁኔታ GnuPG አውታረ መረቡ መቼም እንደሚስተካከል አያምንም። GitHub ላይ በለጠፈው ልጥፍ ላይ፣ ገንቢዎቹ ከSKS Keyserver ጋር እንዲሰሩ እንደማይመክሩ ጽፈዋል። በእውነቱ፣ ወደ አዲሱ የአገልግሎት ቁልፎች.openpgp.org ሽግግር የጀመሩበት ዋና ምክንያት ይህ ነው። የክስተቶችን ተጨማሪ እድገት ብቻ ነው ማየት የምንችለው።
ከድርጅታችን ብሎግ የተወሰኑ ቁሳቁሶች፡-
ምንጭ: hab.com