Entru yo te itilize yon karakteristik nan pwotokòl OpenPGP ki te konnen pou plis pase dis ane.
Nou di w ki pwen an se ak poukisa yo pa ka fèmen li.
/Unsplash/
Pwoblèm rezo
Nan mitan mwa jen, enkoni nan yon rezo sèvè kle kriptografik , bati sou pwotokòl OpenPGP. Sa a se yon estanda IETF (), ki itilize pou ankripte imel ak lòt mesaj. Rezo SKS te kreye trant ane de sa pou distribye sètifika piblik yo. Li gen ladann zouti tankou pou kode done ak kreye siyati elektwonik dijital.
Hackers konpwomèt sètifika de moun ki kenbe pwojè GnuPG, Robert Hansen ak Daniel Gillmor. Chaje yon sètifika pèvèti nan sèvè a lakòz GnuPG echwe - sistèm nan tou senpleman jele. Gen rezon pou kwè ke atakè yo pa pral sispann la, ak kantite sètifika konpwomèt ap ogmante sèlman. Nan moman sa a, limit pwoblèm nan rete enkoni.
Sans nan atak la
Hackers te pran avantaj de yon vilnerabilite nan pwotokòl OpenPGP la. Li te konnen nan kominote a pou dè dekad. Menm sou GitHub exploit ki koresponn yo. Men, jiskaprezan pesonn pa te pran responsablite pou fèmen "twou a" (nou pral pale sou rezon ki fè yo nan plis detay pita).
Yon koup seleksyon nan blog nou an sou Habré:
Dapre spesifikasyon OpenPGP, nenpòt moun ka ajoute siyati dijital nan sètifika pou verifye pwopriyetè yo. Anplis, kantite maksimòm siyati yo pa reglemante nan okenn fason. Ak isit la yon pwoblèm rive - rezo SKS la pèmèt ou mete jiska 150 mil siyati sou yon sèl sètifika, men GnuPG pa sipòte yon nimewo konsa. Kidonk, lè w ap chaje sètifika a, GnuPG (kòm byen ke lòt aplikasyon OpenPGP) jele.
Youn nan itilizatè yo — enpòte sètifika a te pran l 'sou 10 minit. Sètifika a te gen plis pase 54 mil siyati, ak pwa li te 17 MB:
$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1
$ ls -lh pubring.gpg
-rw-r--r-- 1 filippo staff 17M 2 Jul 16:30 pubring.gpg
Pou vin pi mal, sèvè kle OpenPGP pa retire enfòmasyon sètifika. Sa a se fè pou ke ou ka trase chèn nan tout aksyon ak sètifika epi anpeche sibstitisyon yo. Se poutèt sa, li enposib elimine eleman konpwomèt.
Esansyèlman, rezo SKS la se yon gwo "sèvè fichye" kote nenpòt moun ka ekri done. Pou ilistre pwoblèm nan, ane pase a rezidan GitHub , ki estoke dokiman sou yon rezo sèvè kle kriptografik.
Poukisa vilnerabilite a pa te fèmen?
Pa te gen okenn rezon pou fèmen vilnerabilite a. Précédemment, li pa te itilize pou atak pirate. Malgre ke kominote a IT Devlopè SKS ak OpenPGP ta dwe peye atansyon sou pwoblèm nan.
Yo dwe jis, li vo anyen ke nan mwa jen yo toujou sèvè eksperimantal kle . Li bay pwoteksyon kont kalite atak sa yo. Sepandan, baz done li yo peple depi nan grafouyen, ak sèvè a li menm pa fè pati SKS. Se poutèt sa, li pral pran tan anvan li ka itilize.
/Unsplash/
Kòm pou ensèk la nan sistèm orijinal la, yon mekanis senkronizasyon konplèks anpeche li yo te fikse. Rezo sèvè kle a te ekri orijinal kòm yon prèv konsèp pou tèz PhD Yaron Minsky a. Anplis, yo te chwazi yon lang olye espesifik, OCaml, pou travay la. Pa mentè Robert Hansen, kòd la difisil pou konprann, kidonk sèlman ti koreksyon yo te fè nan li. Pou modifye achitekti SKS la, li pral gen yo dwe reekri nan grafouyen.
Nan nenpòt ka, GnuPG pa kwè ke rezo a ap janm dwe fiks. Nan yon pòs sou GitHub, devlopè yo menm te ekri ke yo pa rekòmande travay ak SKS Keyserver. Aktyèlman, sa a se youn nan rezon prensipal poukisa yo te kòmanse tranzisyon an nan nouvo sèvis keys.openpgp.org. Nou ka sèlman gade devlopman an plis nan evènman yo.
Yon koup materyèl ki soti nan blog antrepriz nou an:
Sous: www.habr.com