Hakerlər OpenPGP protokolunun on ildən artıqdır məlum olan xüsusiyyətindən istifadə ediblər.
Məqsədin nə olduğunu və niyə bağlaya bilmədiklərini sizə deyirik.
/Açıq/
Şəbəkə problemləri
İyunun ortalarında, naməlum
Hakerlər iki GnuPG layihəsinin dəstəkçisi Robert Hansen və Daniel Gillmorun sertifikatlarını ələ keçiriblər. Serverdən zədələnmiş sertifikatın yüklənməsi GnuPG-nin uğursuzluğuna səbəb olur - sistem sadəcə olaraq donur. Təcavüzkarların bununla da dayanmayacağına inanmaq üçün əsas var və pozulmuş sertifikatların sayı yalnız artacaq. Hazırda problemin miqyası məlum deyil.
Hücumun mahiyyəti
Hakerlər OpenPGP protokolunda olan boşluqdan istifadə ediblər. O, onilliklər ərzində cəmiyyətə məlumdur. Hətta GitHub-da
Habré-dəki bloqumuzdan bir neçə seçim:
OpenPGP spesifikasiyasına əsasən, hər kəs öz sahibini təsdiqləmək üçün sertifikatlara rəqəmsal imza əlavə edə bilər. Üstəlik, imzaların maksimum sayı heç bir şəkildə tənzimlənmir. Və burada bir problem yaranır - SKS şəbəkəsi bir sertifikatda 150 minə qədər imza yerləşdirməyə imkan verir, lakin GnuPG belə bir rəqəmi dəstəkləmir. Beləliklə, sertifikatı yükləyərkən GnuPG (eləcə də digər OpenPGP tətbiqləri) donur.
İstifadəçilərdən biri
$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1
$ ls -lh pubring.gpg
-rw-r--r-- 1 filippo staff 17M 2 Jul 16:30 pubring.gpg
Məsələni daha da pisləşdirmək üçün OpenPGP açar serverləri sertifikat məlumatını silmir. Bu, sertifikatlarla bütün hərəkətlərin zəncirini izləmək və onların dəyişdirilməsinin qarşısını almaq üçün edilir. Buna görə də, pozulmuş elementləri aradan qaldırmaq mümkün deyil.
Əslində, SKS şəbəkəsi hər kəsin məlumat yaza biləcəyi böyük bir “fayl serveridir”. Problemi göstərmək üçün keçən il GitHub rezidenti
Niyə zəiflik bağlanmadı?
Zəifliyi bağlamaq üçün heç bir səbəb yox idi. Əvvəllər haker hücumları üçün istifadə olunmurdu. Baxmayaraq ki, İT icması
Ədalətli olmaq üçün qeyd etmək lazımdır ki, iyun ayında onlar hələ də
/Açıq/
Orijinal sistemdəki səhvə gəlincə, mürəkkəb sinxronizasiya mexanizmi onun düzəldilməsinə mane olur. Əsas server şəbəkəsi əvvəlcə Yaron Minskinin namizədlik dissertasiyası üçün konsepsiyanın sübutu kimi yazılmışdır. Üstəlik, iş üçün kifayət qədər spesifik bir dil, OCaml seçildi. By
Hər halda, GnuPG şəbəkənin nə vaxtsa düzəldiləcəyinə inanmır. GitHub-dakı bir yazıda tərtibatçılar hətta SKS Keyserver ilə işləməyi tövsiyə etmədiklərini yazdılar. Əslində, bu, onların yeni xidmət keys.openpgp.org-a keçidə başlamasının əsas səbəblərindən biridir. Biz yalnız hadisələrin sonrakı inkişafını izləyə bilərik.
Korporativ bloqumuzdan bir neçə material:
Mənbə: www.habr.com