Gigamit sa mga hacker ang usa ka bahin sa OpenPGP protocol nga nahibal-an sa kapin sa napulo ka tuig.
Gisultihan ka namo kung unsa ang punto ug nganong dili nila kini masira.
/Unsplash/
Mga problema sa network
Sa tunga-tunga sa Hunyo, wala mailhi
Gikompromiso sa mga hacker ang mga sertipiko sa duha nga nagmintinar sa proyekto sa GnuPG, si Robert Hansen ug Daniel Gillmor. Ang pag-load sa usa ka dunot nga sertipiko gikan sa server hinungdan sa pagkapakyas sa GnuPG-ang sistema nag-freeze lang. Adunay rason sa pagtuo nga ang mga tig-atake dili mohunong didto, ug ang gidaghanon sa nakompromiso nga mga sertipiko modaghan lamang. Sa pagkakaron, ang gidak-on sa problema nagpabilin nga wala mahibal-an.
Ang diwa sa pag-atake
Gipahimuslan sa mga hacker ang usa ka kahuyang sa OpenPGP protocol. Nailhan siya sa komunidad sulod sa mga dekada. Bisan sa GitHub
Pipila ka mga pagpili gikan sa among blog sa Habré:
Sumala sa espesipikasyon sa OpenPGP, bisan kinsa mahimong makadugang sa mga digital nga pirma sa mga sertipiko aron mapamatud-an ang ilang tag-iya. Dugang pa, ang maximum nga gidaghanon sa mga pirma wala gi-regulate sa bisan unsang paagi. Ug dinhi usa ka problema ang mitungha - ang SKS network nagtugot kanimo sa pagbutang hangtod sa 150 ka libo nga mga pirma sa usa ka sertipiko, apan ang GnuPG wala mosuporta sa ingon nga numero. Sa ingon, kung nagkarga sa sertipiko, ang GnuPG (ingon man ang uban pang mga pagpatuman sa OpenPGP) nag-freeze.
Usa sa mga ninggamit
$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1
$ ls -lh pubring.gpg
-rw-r--r-- 1 filippo staff 17M 2 Jul 16:30 pubring.gpg
Sa paghimo sa mga butang nga mas grabe, ang OpenPGP key server dili magtangtang sa impormasyon sa sertipiko. Gihimo kini aron masubay nimo ang kadena sa tanan nga mga aksyon nga adunay mga sertipiko ug mapugngan ang ilang pagpuli. Busa, imposible nga mawagtang ang mga nakompromiso nga elemento.
Sa esensya, ang SKS network usa ka dako nga "file server" diin ang bisan kinsa makasulat sa datos. Aron ihulagway ang problema, sa miaging tuig residente sa GitHub
Ngano nga wala gisirhan ang pagkahuyang?
Wala’y hinungdan nga isira ang pagkahuyang. Kaniadto, wala kini gigamit alang sa mga pag-atake sa hacker. Bisan pa ang komunidad sa IT
Aron patas, angay nga matikdan nga sa Hunyo sila pa
/Unsplash/
Sama sa alang sa bug sa orihinal nga sistema, ang usa ka komplikado nga mekanismo sa pag-synchronize nagpugong niini nga ayohon. Ang yawe nga network sa server orihinal nga gisulat ingon usa ka pamatuod sa konsepto alang sa PhD thesis ni Yaron Minsky. Dugang pa, usa ka piho nga lengguwahe, OCaml, gipili alang sa trabaho. Pinaagi sa
Sa bisan unsa nga kaso, ang GnuPG dili motuo nga ang network maayo. Sa usa ka post sa GitHub, gisulat pa sa mga developer nga dili nila girekomenda nga magtrabaho kauban ang SKS Keyserver. Sa tinuud, usa kini sa mga nag-unang hinungdan ngano nga gisugdan nila ang pagbalhin sa bag-ong serbisyo nga keys.openpgp.org. Makatan-aw lang kita sa dugang kalamboan sa mga panghitabo.
Pipila ka mga materyales gikan sa among corporate blog:
Source: www.habr.com