واستخدم المتسللون إحدى ميزات بروتوكول OpenPGP المعروف منذ أكثر من عشر سنوات.
نخبرك ما هي النقطة ولماذا لا يمكنهم إغلاقها.
/unsplash/
مشاكل في الشبكة
في منتصف يونيو غير معروف إلى شبكة من خوادم مفاتيح التشفير ، مبني على بروتوكول OpenPGP. هذا هو معيار IETF ()، والذي يستخدم لتشفير البريد الإلكتروني والرسائل الأخرى. تم إنشاء شبكة SKS منذ ثلاثين عامًا لتوزيع الشهادات العامة. ويتضمن أدوات مثل لتشفير البيانات وإنشاء التوقيعات الرقمية الإلكترونية.
قام المتسللون باختراق شهادات اثنين من مشرفي مشروع GnuPG، روبرت هانسن ودانيال جيلمور. يؤدي تحميل شهادة تالفة من الخادم إلى فشل GnuPG، حيث يتجمد النظام ببساطة. هناك سبب للاعتقاد بأن المهاجمين لن يتوقفوا عند هذا الحد، وأن عدد الشهادات المخترقة سيزداد فقط. وفي الوقت الحالي، لا يزال حجم المشكلة غير معروف.
جوهر الهجوم
استغل المتسللون ثغرة أمنية في بروتوكول OpenPGP. لقد كانت معروفة للمجتمع منذ عقود. حتى على جيثب مآثر المقابلة. لكن حتى الآن لم يتحمل أحد مسؤولية إغلاق «الحفرة» (سنتحدث عن الأسباب بمزيد من التفصيل لاحقاً).
بعض الاختيارات من مدونتنا على حبري:
وفقًا لمواصفات OpenPGP، يمكن لأي شخص إضافة توقيعات رقمية إلى الشهادات للتحقق من مالكها. علاوة على ذلك، لا يتم تنظيم الحد الأقصى لعدد التوقيعات بأي شكل من الأشكال. وهنا تنشأ مشكلة - تتيح لك شبكة SKS وضع ما يصل إلى 150 ألف توقيع على شهادة واحدة، لكن GnuPG لا يدعم مثل هذا الرقم. وبالتالي، عند تحميل الشهادة، يتجمد GnuPG (وكذلك تطبيقات OpenPGP الأخرى).
أحد المستخدمين - استغرق استيراد الشهادة حوالي 10 دقائق. وتضم الشهادة أكثر من 54 ألف توقيع، ووزنها 17 ميجابايت:
$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1
$ ls -lh pubring.gpg
-rw-r--r-- 1 filippo staff 17M 2 Jul 16:30 pubring.gpg
ومما يزيد الطين بلة أن خوادم مفاتيح OpenPGP لا تقوم بإزالة معلومات الشهادة. يتم ذلك حتى تتمكن من تتبع سلسلة جميع الإجراءات بالشهادات ومنع استبدالها. لذلك، من المستحيل القضاء على العناصر المخترقة.
في الأساس، تعد شبكة SKS بمثابة "خادم ملفات" كبير يمكن لأي شخص كتابة البيانات إليه. لتوضيح المشكلة، كان أحد المقيمين في GitHub العام الماضي ، الذي يقوم بتخزين المستندات على شبكة من خوادم مفاتيح التشفير.
لماذا لم يتم إغلاق الثغرة الأمنية؟
لم يكن هناك سبب لإغلاق الثغرة الأمنية. في السابق، لم يتم استخدامه لهجمات القراصنة. على الرغم من أن مجتمع تكنولوجيا المعلومات يجب على مطوري SKS وOpenPGP الانتباه إلى المشكلة.
لكي نكون منصفين، تجدر الإشارة إلى أنهم ما زالوا في يونيو خادم المفتاح التجريبي . ويوفر الحماية ضد هذه الأنواع من الهجمات. ومع ذلك، يتم ملء قاعدة البيانات الخاصة به من البداية، والخادم نفسه ليس جزءًا من SKS. لذلك، سوف يستغرق الأمر بعض الوقت قبل أن يتم استخدامه.
/unsplash/
أما بالنسبة للخلل الموجود في النظام الأصلي، فإن آلية المزامنة المعقدة تمنع إصلاحه. تمت كتابة شبكة الخادم الرئيسية في الأصل كدليل على مفهوم أطروحة دكتوراه يارون مينسكي. علاوة على ذلك، تم اختيار لغة محددة للعمل، وهي OCaml. بواسطة المشرف روبرت هانسن، من الصعب فهم الكود، لذلك يتم إجراء تصحيحات طفيفة فقط عليه. لتعديل بنية SKS، سيتعين إعادة كتابتها من البداية.
على أية حال، لا يعتقد GnuPG أنه سيتم إصلاح الشبكة أبدًا. في منشور على GitHub، كتب المطورون أنهم لا يوصون بالعمل مع SKS Keyserver. في الواقع، هذا هو أحد الأسباب الرئيسية وراء بدء الانتقال إلى الخدمة الجديدة Keys.openpgp.org. ولا يسعنا إلا أن نشاهد تطور الأحداث.
بعض المواد من مدونة شركتنا:
المصدر: www.habr.com