Hackerrek OpenPGP protokoloaren hamarkada bat baino gehiagoz ezaguna den ezaugarri bat ustiatu zuten.
Arazoa zein den eta zergatik ezin den itxi azalduko dugu.
/Desagerrarazi/
Sareko arazoak
Ekainaren erdialdean, ezezagunak gako kriptografikoen zerbitzarien sarera , OpenPGP protokoloan oinarrituta. Hau IETF estandar bat da (), posta elektronikoa eta bestelako komunikazioak enkriptatzeko erabiltzen dena. SKS sarea duela hogeita hamar urte sortu zen ziurtagiri publikoak banatzeko. Tresnak, hala nola datuak enkriptatzeko eta sinadura digital elektronikoak sortzeko.
Hackerrek GnuPG proiektuaren bi mantentzaileren, Robert Hansen eta Daniel Gillmorren, ziurtagiriak kaltetu dituzte. Zerbitzaritik ziurtagiri hondatu bat kargatzeak GnuPG kraskatzea eragiten du, sistema blokeatuz. Arrazoiak daude uste izateko erasotzaileek erasoekin jarraituko dutela, eta kaltetutako ziurtagirien kopurua handitu besterik ez dela egingo. Arazoaren hedadura ezezaguna da oraindik.
Erasoaren funtsa.
Hackerrek OpenPGP protokoloaren ahultasun bat ustiatu zuten. Komunitateak hamarkadetan ezagutzen du, baita GitHub-en ere. dagokien ustiapenak. Baina orain arte, inork ez du zuloa ixtearen ardura bere gain hartu (arrazoiak geroago aztertuko ditugu xehetasun gehiagorekin).
Habr-eko gure blogetik aukeraketa pare bat:
OpenPGP zehaztapenaren arabera, edonork gehi ditzake sinadura digitalak ziurtagirietan bere jabetza egiaztatzeko. Gainera, sinadura kopuru maximoa ez dago araututa. Honek arazo bat sortzen du: SKS sareak 150 sinadura onartzen ditu ziurtagiri bakoitzeko, baina GnuPG-k ez du kopuru hori onartzen. Hori dela eta, GnuPG-k (baita beste OpenPGP inplementazio batzuek ere) blokeatzen da ziurtagiri bat kargatzean.
Erabiltzaileetako bat β Ziurtagiria inportatzeak 10 minutu inguru behar izan zituen. Ziurtagiriak 54 sinadura baino gehiago zituen eta 17 MB pisatzen zuen:
$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <dkg@fifthhorseman.net>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1
$ ls -lh pubring.gpg
-rw-r--r-- 1 filippo staff 17M 2 Jul 16:30 pubring.gpg
Egoera okerrera egiten du OpenPGP gako-zerbitzariek ziurtagirien informazioa ezabatzen ez dutelako. Hori egiten da ziurtagirien transakzio guztien katea jarraitzeko eta ziurtagirien ordezkapena saihesteko. Beraz, ezinezkoa da elementu konprometituak ezabatzea.
Funtsean, SKS sarea "fitxategi zerbitzari" handi bat da, eta edonork idatz ditzake datuak bertan. Arazoa ilustratzeko, iaz GitHub-eko bizilagun batek , dokumentuak gako kriptografikoen zerbitzarien sare batean gordetzen dituena.
Zergatik ez zen ahultasuna konpondu?
Ez zegoen ahultasuna konpontzeko arrazoirik. Aurretik ez zen hacker erasoetarako erabili. IT komunitateak... SKS eta OpenPGP garatzaileek arazoari arreta jarri beharko liokete.
Egia esan, kontuan izan behar da ekainean oraindik ere gako-zerbitzari esperimentala Eraso mota hauen aurkako babesa ezartzen du. Hala ere, bere datu-basea hutsetik betetzen da, eta zerbitzaria bera ez da SKSren parte. Beraz, denbora beharko da erabili ahal izateko.

/Desagerrarazi/
Jatorrizko sistemaren akatsari dagokionez, bere sinkronizazio mekanismo konplexuak konpontzea eragozten du. Gako-zerbitzari sarea jatorriz Yaron Minskyren doktorego-tesirako kontzeptuaren froga gisa idatzi zen. Gainera, lanerako aukeratutako hizkuntza nahiko zehatza OCaml izan zen. Robert Hansen mantentzailearen arabera, kodea ulertzeko zaila da, beraz, konponketa txikiak baino ez dira egiten ari. SKS arkitektura aldatzeak hutsetik berridaztea eskatuko luke.
Nolanahi ere, GnuPG-k ez du uste sarea inoiz konponduko denik. GitHub-eko mezu batean, garatzaileek idatzi zuten ez dutela SKS Keyserver erabiltzea gomendatzen. Izan ere, hau da keys.openpgp.org zerbitzu berrirako trantsizioa hasteko arrazoi nagusietako bat. Gauzak nola doazen itxaron besterik ezin dugu egin.
Gure enpresa-blogeko material pare bat:
Iturria: www.habr.com
