Hackerrek hamar urte baino gehiago ezagutzen den OpenPGP protokoloaren ezaugarri bat erabili zuten.
Kontua zein den eta zergatik ezin duten itxi esaten dizugu.
/Desagerrarazi/
Sareko arazoak
Ekainaren erdialdean, ezezaguna
Hackerrek Robert Hansen eta Daniel Gillmor GnuPG proiektuaren bi mantentzaileren ziurtagiriak arriskuan jarri zituzten. Zerbitzaritik hondatutako ziurtagiri bat kargatzeak GnuPG huts egiten du; sistema izoztu besterik ez da egiten. Erasotzaileak hor geldituko ez direla uste izateko arrazoiak daude, eta arriskuan dauden ziurtagirien kopurua handitu baino ez da egingo. Momentuz, arazoaren norainokoa ezezaguna da.
Erasoaren funtsa
Hackerrek OpenPGP protokoloko ahultasun bat aprobetxatu zuten. Hamarkada luzez ezaguna da komunitatean. GitHub-en ere
HabrΓ©-ri buruzko gure blogeko aukera pare bat:
OpenPGP zehaztapenaren arabera, edonork sinadura digitalak gehi ditzake ziurtagiriei bere jabea egiaztatzeko. Gainera, gehienezko sinadura kopurua ez dago inola ere araututa. Eta hemen arazo bat sortzen da - SKS sareak ziurtagiri batean 150 mila sinadura jartzeko aukera ematen du, baina GnuPG-k ez du horrelako zenbakirik onartzen. Horrela, ziurtagiria kargatzean, GnuPG (baita OpenPGP beste inplementazio batzuk ere) izoztu egiten da.
Erabiltzaileetako bat
$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1
$ ls -lh pubring.gpg
-rw-r--r-- 1 filippo staff 17M 2 Jul 16:30 pubring.gpg
Hori gutxi balitz, OpenPGP gako-zerbitzariek ez dute ziurtagiriaren informazioa kentzen. Hau egiten da ziurtagiriekin ekintza guztien katea jarrai dezazun eta horien ordezkapena saihesteko. Hori dela eta, ezinezkoa da arriskuan dauden elementuak ezabatzea.
Funtsean, SKS sarea "fitxategi-zerbitzari" handi bat da, eta edonork datuak idatz ditzake. Arazoa ilustratzeko, iaz GitHub egoiliarra
Zergatik ez zen ahultasuna itxi?
Ez zegoen ahultasuna ixteko arrazoirik. Aurretik, ez zen hackerren erasoetarako erabiltzen. Nahiz eta IT komunitatea
Bidezkoa izateko, aipatzekoa da ekainean oraindik ere
/Desagerrarazi/
Jatorrizko sistemako akatsari dagokionez, sinkronizazio mekanismo konplexu batek konpontzea eragozten du. Gako-zerbitzariaren sarea jatorriz Yaron Minsky-ren doktorego-tesirako kontzeptuaren froga gisa idatzi zen. Gainera, hizkuntza zehatz samarra, OCaml, aukeratu zen lanerako. Nork
Nolanahi ere, GnuPG-k ez du uste sarea inoiz konponduko denik. GitHub-eko argitalpen batean, garatzaileek SKS Keyserver-ekin lan egitea gomendatzen ez dutela ere idatzi zuten. Egia esan, hau da keys.openpgp.org zerbitzu berrirako trantsizioa abiarazi duten arrazoi nagusietako bat. Gertaeren garapena besterik ez dugu ikusi.
Gure blog korporatiboaren material pare bat:
Iturria: www.habr.com