Defnyddiodd yr hacwyr nodwedd o'r protocol OpenPGP sydd wedi bod yn hysbys ers mwy na deng mlynedd.
Rydyn ni'n dweud wrthych chi beth yw'r pwynt a pham na allan nhw ei gau.
/Tad-sblash/
Problemau rhwydwaith
Ganol mis Mehefin, anhysbys
Cyfaddawdodd hacwyr dystysgrifau dau gynhaliwr prosiect GnuPG, Robert Hansen a Daniel Gillmor. Mae llwytho tystysgrif lygredig o'r gweinydd yn achosi i GnuPG fethu - mae'r system yn rhewi. Mae lle i gredu na fydd yr ymosodwyr yn stopio yno, a dim ond cynyddu fydd nifer y tystysgrifau dan fygythiad. Ar hyn o bryd, mae maint y broblem yn parhau i fod yn anhysbys.
Hanfod yr ymosodiad
Manteisiodd hacwyr ar fregusrwydd yn y protocol OpenPGP. Mae hi wedi bod yn adnabyddus i'r gymuned ers degawdau. Hyd yn oed ar GitHub
Cwpl o ddetholiadau o'n blog ar Habré:
Yn ôl manyleb OpenPGP, gall unrhyw un ychwanegu llofnodion digidol at dystysgrifau i wirio eu perchennog. At hynny, nid yw uchafswm nifer y llofnodion yn cael ei reoleiddio mewn unrhyw ffordd. Ac yma mae problem yn codi - mae rhwydwaith SKS yn caniatáu ichi osod hyd at 150 mil o lofnodion ar un dystysgrif, ond nid yw GnuPG yn cefnogi rhif o'r fath. Felly, wrth lwytho'r dystysgrif, mae GnuPG (yn ogystal â gweithrediadau OpenPGP eraill) yn rhewi.
Un o'r defnyddwyr
$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1
$ ls -lh pubring.gpg
-rw-r--r-- 1 filippo staff 17M 2 Jul 16:30 pubring.gpg
I wneud pethau'n waeth, nid yw gweinyddwyr bysellau OpenPGP yn dileu gwybodaeth tystysgrif. Gwneir hyn fel y gallwch olrhain cadwyn yr holl gamau gweithredu gyda thystysgrifau ac atal eu hamnewid. Felly, mae'n amhosibl dileu elfennau dan fygythiad.
Yn y bôn, mae rhwydwaith SKS yn “weinydd ffeil” mawr y gall unrhyw un ysgrifennu data ato. Er mwyn dangos y broblem, y llynedd un o drigolion GitHub
Pam na chafodd y bregusrwydd ei gau?
Nid oedd unrhyw reswm i gau'r bregusrwydd. Yn flaenorol, ni chafodd ei ddefnyddio ar gyfer ymosodiadau haciwr. Er bod y gymuned TG
I fod yn deg, mae'n werth nodi bod ym mis Mehefin maent yn dal i fod
/Tad-sblash/
O ran y nam yn y system wreiddiol, mae mecanwaith cydamseru cymhleth yn ei atal rhag cael ei osod. Ysgrifennwyd y rhwydwaith gweinydd allweddol yn wreiddiol fel prawf o gysyniad ar gyfer thesis PhD Yaron Minsky. Ar ben hynny, dewiswyd iaith eithaf penodol, OCaml, ar gyfer y gwaith. Gan
Beth bynnag, nid yw GnuPG yn credu y bydd y rhwydwaith byth yn sefydlog. Mewn post ar GitHub, ysgrifennodd y datblygwyr hyd yn oed nad ydynt yn argymell gweithio gyda SKS Keyserver. A dweud y gwir, dyma un o'r prif resymau pam y gwnaethant gychwyn y trosglwyddiad i'r gwasanaeth newydd keys.openpgp.org. Ni allwn ond gwylio datblygiad pellach digwyddiadau.
Cwpl o ddeunyddiau o'n blog corfforaethol:
Ffynhonnell: hab.com