Ondoko analisia: SKS Keyserver kripto-gako zerbitzarien sarearen azken erasoari buruz dakiena

Hackerrek OpenPGP protokoloaren hamarkada bat baino gehiagoz ezaguna den ezaugarri bat ustiatu zuten.

Arazoa zein den eta zergatik ezin den itxi azalduko dugu.

Ondoko analisia: SKS Keyserver kripto-gako zerbitzarien sarearen azken erasoari buruz dakiena
/Desagerrarazi/ Chunlea Ju

Sareko arazoak

Ekainaren erdialdean, ezezagunak eraso bat egin zuen gako kriptografikoen zerbitzarien sarera SKS gako-zerbitzaria, OpenPGP protokoloan oinarrituta. Hau IETF estandar bat da (RFC 4880), posta elektronikoa eta bestelako komunikazioak enkriptatzeko erabiltzen dena. SKS sarea duela hogeita hamar urte sortu zen ziurtagiri publikoak banatzeko. Tresnak, hala nola GnuPG datuak enkriptatzeko eta sinadura digital elektronikoak sortzeko.

Hackerrek GnuPG proiektuaren bi mantentzaileren, Robert Hansen eta Daniel Gillmorren, ziurtagiriak kaltetu dituzte. Zerbitzaritik ziurtagiri hondatu bat kargatzeak GnuPG kraskatzea eragiten du, sistema blokeatuz. Arrazoiak daude uste izateko erasotzaileek erasoekin jarraituko dutela, eta kaltetutako ziurtagirien kopurua handitu besterik ez dela egingo. Arazoaren hedadura ezezaguna da oraindik.

Erasoaren funtsa.

Hackerrek OpenPGP protokoloaren ahultasun bat ustiatu zuten. Komunitateak hamarkadetan ezagutzen du, baita GitHub-en ere. aurki dezake dagokien ustiapenak. Baina orain arte, inork ez du zuloa ixtearen ardura bere gain hartu (arrazoiak geroago aztertuko ditugu xehetasun gehiagorekin).

Habr-eko gure blogetik aukeraketa pare bat:

OpenPGP zehaztapenaren arabera, edonork gehi ditzake sinadura digitalak ziurtagirietan bere jabetza egiaztatzeko. Gainera, sinadura kopuru maximoa ez dago araututa. Honek arazo bat sortzen du: SKS sareak 150 sinadura onartzen ditu ziurtagiri bakoitzeko, baina GnuPG-k ez du kopuru hori onartzen. Hori dela eta, GnuPG-k (baita beste OpenPGP inplementazio batzuek ere) blokeatzen da ziurtagiri bat kargatzean.

Erabiltzaileetako bat esperimentu bat egin zuen β€” Ziurtagiria inportatzeak 10 minutu inguru behar izan zituen. Ziurtagiriak 54 sinadura baino gehiago zituen eta 17 MB pisatzen zuen:

$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <dkg@fifthhorseman.net>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg:               imported: 1
$ ls -lh pubring.gpg
-rw-r--r--  1 filippo  staff    17M  2 Jul 16:30 pubring.gpg

Egoera okerrera egiten du OpenPGP gako-zerbitzariek ziurtagirien informazioa ezabatzen ez dutelako. Hori egiten da ziurtagirien transakzio guztien katea jarraitzeko eta ziurtagirien ordezkapena saihesteko. Beraz, ezinezkoa da elementu konprometituak ezabatzea.

Funtsean, SKS sarea "fitxategi zerbitzari" handi bat da, eta edonork idatz ditzake datuak bertan. Arazoa ilustratzeko, iaz GitHub-eko bizilagun batek fitxategi sistema bat sortu zuen, dokumentuak gako kriptografikoen zerbitzarien sare batean gordetzen dituena.

Zergatik ez zen ahultasuna konpondu?

Ez zegoen ahultasuna konpontzeko arrazoirik. Aurretik ez zen hacker erasoetarako erabili. IT komunitateak... Aspalditik eskatzen ari naiz hau SKS eta OpenPGP garatzaileek arazoari arreta jarri beharko liokete.

Egia esan, kontuan izan behar da ekainean oraindik ere martxan jarri gako-zerbitzari esperimentala keys.openpgp.orgEraso mota hauen aurkako babesa ezartzen du. Hala ere, bere datu-basea hutsetik betetzen da, eta zerbitzaria bera ez da SKSren parte. Beraz, denbora beharko da erabili ahal izateko.

Ondoko analisia: SKS Keyserver kripto-gako zerbitzarien sarearen azken erasoari buruz dakiena
/Desagerrarazi/ RubΓ©n BagΓΌΓ©s

Jatorrizko sistemaren akatsari dagokionez, bere sinkronizazio mekanismo konplexuak konpontzea eragozten du. Gako-zerbitzari sarea jatorriz Yaron Minskyren doktorego-tesirako kontzeptuaren froga gisa idatzi zen. Gainera, lanerako aukeratutako hizkuntza nahiko zehatza OCaml izan zen. arabera Robert Hansen mantentzailearen arabera, kodea ulertzeko zaila da, beraz, konponketa txikiak baino ez dira egiten ari. SKS arkitektura aldatzeak hutsetik berridaztea eskatuko luke.

Nolanahi ere, GnuPG-k ez du uste sarea inoiz konponduko denik. GitHub-eko mezu batean, garatzaileek idatzi zuten ez dutela SKS Keyserver erabiltzea gomendatzen. Izan ere, hau da keys.openpgp.org zerbitzu berrirako trantsizioa hasteko arrazoi nagusietako bat. Gauzak nola doazen itxaron besterik ezin dugu egin.

Gure enpresa-blogeko material pare bat:

Iturria: www.habr.com

Erosi hosting fidagarria DDoS babesa duten guneetarako, VPS VDS zerbitzariak πŸ”₯ Erosi webguneentzako ostatu fidagarria DDoS babesarekin, VPS VDS zerbitzariak | ProHoster