Entru yo te itilize yon karakteristik nan pwotokòl OpenPGP ki te konnen pou plis pase dis ane.
Nou di w ki pwen an se ak poukisa yo pa ka fèmen li.
/Unsplash/
Pwoblèm rezo
Nan mitan mwa jen, enkoni
Hackers konpwomèt sètifika de moun ki kenbe pwojè GnuPG, Robert Hansen ak Daniel Gillmor. Chaje yon sètifika pèvèti nan sèvè a lakòz GnuPG echwe - sistèm nan tou senpleman jele. Gen rezon pou kwè ke atakè yo pa pral sispann la, ak kantite sètifika konpwomèt ap ogmante sèlman. Nan moman sa a, limit pwoblèm nan rete enkoni.
Sans nan atak la
Hackers te pran avantaj de yon vilnerabilite nan pwotokòl OpenPGP la. Li te konnen nan kominote a pou dè dekad. Menm sou GitHub
Yon koup seleksyon nan blog nou an sou Habré:
Dapre spesifikasyon OpenPGP, nenpòt moun ka ajoute siyati dijital nan sètifika pou verifye pwopriyetè yo. Anplis, kantite maksimòm siyati yo pa reglemante nan okenn fason. Ak isit la yon pwoblèm rive - rezo SKS la pèmèt ou mete jiska 150 mil siyati sou yon sèl sètifika, men GnuPG pa sipòte yon nimewo konsa. Kidonk, lè w ap chaje sètifika a, GnuPG (kòm byen ke lòt aplikasyon OpenPGP) jele.
Youn nan itilizatè yo
$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1
$ ls -lh pubring.gpg
-rw-r--r-- 1 filippo staff 17M 2 Jul 16:30 pubring.gpg
Pou vin pi mal, sèvè kle OpenPGP pa retire enfòmasyon sètifika. Sa a se fè pou ke ou ka trase chèn nan tout aksyon ak sètifika epi anpeche sibstitisyon yo. Se poutèt sa, li enposib elimine eleman konpwomèt.
Esansyèlman, rezo SKS la se yon gwo "sèvè fichye" kote nenpòt moun ka ekri done. Pou ilistre pwoblèm nan, ane pase a rezidan GitHub
Poukisa vilnerabilite a pa te fèmen?
Pa te gen okenn rezon pou fèmen vilnerabilite a. Précédemment, li pa te itilize pou atak pirate. Malgre ke kominote a IT
Yo dwe jis, li vo anyen ke nan mwa jen yo toujou
/Unsplash/
Kòm pou ensèk la nan sistèm orijinal la, yon mekanis senkronizasyon konplèks anpeche li yo te fikse. Rezo sèvè kle a te ekri orijinal kòm yon prèv konsèp pou tèz PhD Yaron Minsky a. Anplis, yo te chwazi yon lang olye espesifik, OCaml, pou travay la. Pa
Nan nenpòt ka, GnuPG pa kwè ke rezo a ap janm dwe fiks. Nan yon pòs sou GitHub, devlopè yo menm te ekri ke yo pa rekòmande travay ak SKS Keyserver. Aktyèlman, sa a se youn nan rezon prensipal poukisa yo te kòmanse tranzisyon an nan nouvo sèvis keys.openpgp.org. Nou ka sèlman gade devlopman an plis nan evènman yo.
Yon koup materyèl ki soti nan blog antrepriz nou an:
Sous: www.habr.com