Ondoko analisia: SKS Keyserver kripto-gako zerbitzarien sarearen azken erasoari buruz dakiena

Hackerrek hamar urte baino gehiago ezagutzen den OpenPGP protokoloaren ezaugarri bat erabili zuten.

Kontua zein den eta zergatik ezin duten itxi esaten dizugu.

/Desagerrarazi/ Chunlea Ju

Sareko arazoak

Ekainaren erdialdean, ezezaguna eraso bat egin zuen gako kriptografikoen zerbitzarien sare batera SKS gako-zerbitzaria, OpenPGP protokoloan eraikia. Hau IETF estandarra da (RFC 4880), posta elektronikoa eta bestelako mezuak enkriptatzeko erabiltzen dena. SKS sarea duela hogeita hamar urte sortu zen ziurtagiri publikoak banatzeko. bezalako tresnak biltzen ditu GnuPG datuak zifratzeko eta sinadura digital elektronikoak sortzeko.

Hackerrek Robert Hansen eta Daniel Gillmor GnuPG proiektuaren bi mantentzaileren ziurtagiriak arriskuan jarri zituzten. Zerbitzaritik hondatutako ziurtagiri bat kargatzeak GnuPG huts egiten du; sistema izoztu besterik ez da egiten. Erasotzaileak hor geldituko ez direla uste izateko arrazoiak daude, eta arriskuan dauden ziurtagirien kopurua handitu baino ez da egingo. Momentuz, arazoaren norainokoa ezezaguna da.

Erasoaren funtsa

Hackerrek OpenPGP protokoloko ahultasun bat aprobetxatu zuten. Hamarkada luzez ezaguna da komunitatean. GitHub-en ere aurki dezake dagozkion ustiapenak. Baina orain arte inork ez du bere gain hartu “zuloa” ixtearen ardura (aurrerago hitz egingo dugu arrazoiei buruz).

Habré-ri buruzko gure blogeko aukera pare bat:

• SDN digest - kode irekiko sei emuladore
• Nola SDN eraiki - Kode irekiko zortzi tresna
• Sareko laburpena: Wi-Fi eta 17G-ri buruzko 5 material aditu

OpenPGP zehaztapenaren arabera, edonork sinadura digitalak gehi ditzake ziurtagiriei bere jabea egiaztatzeko. Gainera, gehienezko sinadura kopurua ez dago inola ere araututa. Eta hemen arazo bat sortzen da - SKS sareak ziurtagiri batean 150 mila sinadura jartzeko aukera ematen du, baina GnuPG-k ez du horrelako zenbakirik onartzen. Horrela, ziurtagiria kargatzean, GnuPG (baita OpenPGP beste inplementazio batzuk ere) izoztu egiten da.

Erabiltzaileetako bat esperimentu bat egin zuen — ziurtagiria inportatzeak 10 minutu inguru behar izan zituen. Ziurtagiriak 54 mila sinadura baino gehiago zituen, eta bere pisua 17 MB zen:

$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg:               imported: 1
$ ls -lh pubring.gpg
-rw-r--r--  1 filippo  staff    17M  2 Jul 16:30 pubring.gpg

Hori gutxi balitz, OpenPGP gako-zerbitzariek ez dute ziurtagiriaren informazioa kentzen. Hau egiten da ziurtagiriekin ekintza guztien katea jarrai dezazun eta horien ordezkapena saihesteko. Hori dela eta, ezinezkoa da arriskuan dauden elementuak ezabatzea.

Funtsean, SKS sarea "fitxategi-zerbitzari" handi bat da, eta edonork datuak idatz ditzake. Arazoa ilustratzeko, iaz GitHub egoiliarra fitxategi-sistema bat sortu du, dokumentuak gako kriptografikoen zerbitzarien sare batean gordetzen dituena.

Zergatik ez zen ahultasuna itxi?

Ez zegoen ahultasuna ixteko arrazoirik. Aurretik, ez zen hackerren erasoetarako erabiltzen. Nahiz eta IT komunitatea denbora luzez galdetu SKS eta OpenPGP garatzaileek arreta jarri behar diote arazoari.

Bidezkoa izateko, aipatzekoa da ekainean oraindik ere martxan jarri gako-zerbitzari esperimentala keys.openpgp.org. Eraso mota hauen aurkako babesa eskaintzen du. Hala ere, bere datu-basea hutsetik betetzen da, eta zerbitzaria bera ez da SKSren parte. Hori dela eta, denbora beharko da erabili ahal izateko.

/Desagerrarazi/ Rubén Bagües

Jatorrizko sistemako akatsari dagokionez, sinkronizazio mekanismo konplexu batek konpontzea eragozten du. Gako-zerbitzariaren sarea jatorriz Yaron Minsky-ren doktorego-tesirako kontzeptuaren froga gisa idatzi zen. Gainera, hizkuntza zehatz samarra, OCaml, aukeratu zen lanerako. Nork arabera Robert Hansen mantentzaileari, kodea ulertzea zaila da, beraz, zuzenketa txikiak baino ez zaizkio egiten. SKS arkitektura aldatzeko, hutsetik berridatzi beharko da.

Nolanahi ere, GnuPG-k ez du uste sarea inoiz konponduko denik. GitHub-eko argitalpen batean, garatzaileek SKS Keyserver-ekin lan egitea gomendatzen ez dutela ere idatzi zuten. Egia esan, hau da keys.openpgp.org zerbitzu berrirako trantsizioa abiarazi duten arrazoi nagusietako bat. Gertaeren garapena besterik ez dugu ikusi.

Gure blog korporatiboaren material pare bat:

• Botneten "spamak" bideratzaileen bidez: jakin behar duzuna
• DDoS eta 5G: "tutu" lodiagoak arazo gehiago dakartza
• Firewall edo DPI - babes tresnak hainbat helburutarako
• Internet herrira - irrati-errele Wi-Fi sare bat eraikitzea

Iturria: www.habr.com