Hakerlər OpenPGP protokolunun on ildən artıqdır məlum olan xüsusiyyətindən istifadə ediblər.
Məqsədin nə olduğunu və niyə bağlaya bilmədiklərini sizə deyirik.
/Açıq/
Şəbəkə problemləri
İyunun ortalarında, naməlum kriptoqrafik açar serverləri şəbəkəsinə , OpenPGP protokolu əsasında qurulmuşdur. Bu IETF standartıdır (), e-poçt və digər mesajları şifrələmək üçün istifadə olunur. SKS şəbəkəsi ictimai sertifikatları yaymaq üçün otuz il əvvəl yaradılmışdır. kimi alətlər daxildir məlumatların şifrələnməsi və elektron rəqəmsal imzaların yaradılması üçün.
Hakerlər iki GnuPG layihəsinin dəstəkçisi Robert Hansen və Daniel Gillmorun sertifikatlarını ələ keçiriblər. Serverdən zədələnmiş sertifikatın yüklənməsi GnuPG-nin uğursuzluğuna səbəb olur - sistem sadəcə olaraq donur. Təcavüzkarların bununla da dayanmayacağına inanmaq üçün əsas var və pozulmuş sertifikatların sayı yalnız artacaq. Hazırda problemin miqyası məlum deyil.
Hücumun mahiyyəti
Hakerlər OpenPGP protokolunda olan boşluqdan istifadə ediblər. O, onilliklər ərzində cəmiyyətə məlumdur. Hətta GitHub-da müvafiq istismarlar. Ancaq indiyə qədər heç kim "çuxur"un bağlanması üçün məsuliyyət daşımayıb (səbəbləri daha sonra daha ətraflı danışacağıq).
Habré-dəki bloqumuzdan bir neçə seçim:
OpenPGP spesifikasiyasına əsasən, hər kəs öz sahibini təsdiqləmək üçün sertifikatlara rəqəmsal imza əlavə edə bilər. Üstəlik, imzaların maksimum sayı heç bir şəkildə tənzimlənmir. Və burada bir problem yaranır - SKS şəbəkəsi bir sertifikatda 150 minə qədər imza yerləşdirməyə imkan verir, lakin GnuPG belə bir rəqəmi dəstəkləmir. Beləliklə, sertifikatı yükləyərkən GnuPG (eləcə də digər OpenPGP tətbiqləri) donur.
İstifadəçilərdən biri — sertifikatı gətirmək ona təxminən 10 dəqiqə çəkdi. Sertifikatın 54 mindən çox imzası var və çəkisi 17 MB idi:
$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <dkg@fifthhorseman.net>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1
$ ls -lh pubring.gpg
-rw-r--r-- 1 filippo staff 17M 2 Jul 16:30 pubring.gpg
Məsələni daha da pisləşdirmək üçün OpenPGP açar serverləri sertifikat məlumatını silmir. Bu, sertifikatlarla bütün hərəkətlərin zəncirini izləmək və onların dəyişdirilməsinin qarşısını almaq üçün edilir. Buna görə də, pozulmuş elementləri aradan qaldırmaq mümkün deyil.
Əslində, SKS şəbəkəsi hər kəsin məlumat yaza biləcəyi böyük bir “fayl serveridir”. Problemi göstərmək üçün keçən il GitHub rezidenti , sənədləri kriptoqrafik açar serverləri şəbəkəsində saxlayan.
Niyə zəiflik bağlanmadı?
Zəifliyi bağlamaq üçün heç bir səbəb yox idi. Əvvəllər haker hücumları üçün istifadə olunmurdu. Baxmayaraq ki, İT icması SKS və OpenPGP tərtibatçıları problemə diqqət yetirməlidirlər.
Ədalətli olmaq üçün qeyd etmək lazımdır ki, iyun ayında onlar hələ də eksperimental açar serveri . Bu cür hücumlardan qorunma təmin edir. Bununla belə, onun verilənlər bazası sıfırdan doldurulur və server özü SKS-nin bir hissəsi deyil. Buna görə də, istifadə etmək üçün vaxt lazımdır.

/Açıq/
Orijinal sistemdəki səhvə gəlincə, mürəkkəb sinxronizasiya mexanizmi onun düzəldilməsinə mane olur. Əsas server şəbəkəsi əvvəlcə Yaron Minskinin namizədlik dissertasiyası üçün konsepsiyanın sübutu kimi yazılmışdır. Üstəlik, iş üçün kifayət qədər spesifik bir dil, OCaml seçildi. By baxıcı Robert Hansen, kodu anlamaq çətindir, ona görə də ona yalnız kiçik düzəlişlər edilir. SKS arxitekturasını dəyişdirmək üçün onu sıfırdan yenidən yazmaq lazımdır.
Hər halda, GnuPG şəbəkənin nə vaxtsa düzəldiləcəyinə inanmır. GitHub-dakı bir yazıda tərtibatçılar hətta SKS Keyserver ilə işləməyi tövsiyə etmədiklərini yazdılar. Əslində, bu, onların yeni xidmət keys.openpgp.org-a keçidə başlamasının əsas səbəblərindən biridir. Biz yalnız hadisələrin sonrakı inkişafını izləyə bilərik.
Korporativ bloqumuzdan bir neçə material:
Mənbə: www.habr.com
