Iar-anailís: cad atá ar eolas faoin ionsaí is déanaí ar líonra SKS Keyserver de fhreastalaithe eochair crypto

Bhain na hackers úsáid as gné den phrótacal OpenPGP a bhfuil aithne air le breis agus deich mbliana.

Inseoimid duit cad é an pointe agus cén fáth nach féidir leo é a dhúnadh.

/Dísplash/ Chunlea Ju

Fadhbanna líonra

I lár mhí an Mheithimh, anaithnid rinne ionsaí le líonra de fhreastalaithe eochair cripteagrafacha SKS freastalaí eochair, tógtha ar phrótacal OpenPGP. Is caighdeán IETF é seo (RFC 4880), a úsáidtear chun ríomhphoist agus teachtaireachtaí eile a chriptiú. Cruthaíodh líonra SKS tríocha bliain ó shin chun deimhnithe poiblí a dháileadh. Áiríonn sé uirlisí ar nós gnuPG chun sonraí a chriptiú agus chun sínithe digiteacha leictreonacha a chruthú.

Chuir hackers isteach ar dheimhnithe dhá chothaitheoir tionscadail GnuPG, Robert Hansen agus Daniel Gillmor. Má dhéantar teastas truaillithe a lódáil ón bhfreastalaí is cúis le teip ar GnuPG - ní dhéanann an córas ach reoite. Tá cúis ann a chreidiúint nach stopfaidh na hionsaitheoirí ansin, agus ní bheidh ach méadú ar líon na ndeimhnithe comhréitigh. Faoi láthair, tá méid na faidhbe anaithnid.

An croílár an ionsaí

Bhain hackers leas as leochaileacht sa phrótacal OpenPGP. Tá aithne ag an bpobal uirthi le scór bliain. Fiú ar GitHub is féidir a aimsiú saothrú comhfhreagrach. Ach go dtí seo níor ghlac aon duine freagracht as an “poll” a dhúnadh (beidh muid ag caint faoi na cúiseanna go mion níos déanaí).

Cúpla rogha ónár mblag ar Habré:

• Achoimre SDN - sé aithriseoir foinse oscailte
• Conas SDN a Thógáil - Ocht Uirlis Foinse Oscailte
• Achoimre líonra: 17 sainábhar faoi Wi-Fi agus 5G

De réir sonraíocht OpenPGP, is féidir le duine ar bith sínithe digiteacha a chur le deimhnithe chun a úinéir a fhíorú. Ina theannta sin, ní rialaítear ar bhealach ar bith an t-uaslíon sínithe. Agus éiríonn fadhb anseo - ligeann líonra SKS duit suas le 150 míle síniú a chur ar dheimhniú amháin, ach ní thacaíonn GnuPG le huimhir den sórt sin. Mar sin, agus an deimhniú á luchtú, reoiteann GnuPG (chomh maith le feidhmiúcháin OpenPGP eile).

Ceann de na húsáideoirí rinne turgnamh — thóg sé thart ar 10 nóiméad air chun an deimhniú a allmhairiú. Bhí níos mó ná 54 míle síniú ag an teastas, agus ba é a mheáchan ná 17 MB:

$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg:               imported: 1
$ ls -lh pubring.gpg
-rw-r--r--  1 filippo  staff    17M  2 Jul 16:30 pubring.gpg

Chun cúrsaí a dhéanamh níos measa, ní bhainfidh príomhfhreastalaithe OpenPGP faisnéis teastais. Déantar é seo ionas gur féidir leat slabhra na ngníomhartha go léir a rianú le deimhnithe agus cosc ​​a chur ar a n-ionadú. Dá bhrí sin, tá sé dodhéanta deireadh a chur le heilimintí comhréiteach.

Go bunúsach, is “freastalaí comhad” mór é líonra SKS ar féidir le duine ar bith sonraí a scríobh chuige. Chun an fhadhb a léiriú, an bhliain seo caite cónaitheoir GitHub chruthaigh córas comhaid, a stórálann doiciméid ar líonra de fhreastalaithe eochair cripteagrafach.

Cén fáth nach raibh an leochaileacht dúnta?

Ní raibh aon chúis leis an leochaileacht a dhúnadh. Roimhe seo, níor úsáideadh é le haghaidh ionsaithe hacker. Cé go bhfuil an pobal TF iarr ar feadh i bhfad Ba cheart d'fhorbróirí SKS agus OpenPGP aird a thabhairt ar an bhfadhb.

Chun a bheith cothrom, is fiú a thabhairt faoi deara go bhfuil siad fós i mí an Mheithimh seolta freastalaí eochair turgnamhach eochracha.openpgp.org. Soláthraíonn sé cosaint ar na cineálacha ionsaithe seo. Mar sin féin, tá a bhunachar sonraí daonra ón tús, agus níl an freastalaí féin mar chuid de SKS. Dá bhrí sin, tógfaidh sé am sula bhféadfar é a úsáid.

/Dísplash/ Rubén Bagües

Maidir leis an bhfabht sa bhunchóras, cuireann meicníocht casta sioncrónaithe cosc ​​air é a shocrú. Scríobhadh an líonra príomhfhreastalaí ar dtús mar chruthúnas ar choincheap do thráchtas PhD Yaron Minsky. Ina theannta sin, roghnaíodh teanga sách sonrach, OCaml, don saothar. Le de réir cothaitheoir Robert Hansen, tá an cód deacair a thuiscint, mar sin ní dhéantar ach mioncheartúcháin air. Chun an ailtireacht SKS a mhodhnú, ní mór é a athscríobh ón tús.

Ar aon chuma, ní chreideann GnuPG go socrófar an líonra riamh. I bpost ar GitHub, scríobh na forbróirí fiú nach bhfuil siad ag moladh oibriú le SKS Keyserver. I ndáiríre, is é seo ceann de na príomhchúiseanna a chuir siad tús leis an aistriú chuig an tseirbhís nua keys.openpgp.org. Ní féidir linn ach féachaint ar fhorbairt bhreise na n-imeachtaí.

Cúpla ábhar ónár mblag corparáideach:

• “Turscar” Botnet trí ródairí: cad is gá duit a bheith ar eolas
• DDoS agus 5G: ciallaíonn “píobán” níos tiús níos mó fadhbanna
• Balla Dóiteáin nó PSO - uirlisí cosanta chun críocha éagsúla
• Idirlíon sa sráidbhaile - táimid ag tógáil líonra Wi-Fi sealaíochta raidió

Foinse: will.com