Հետվերլուծություն. ինչ է հայտնի SKS Keyserver կրիպտո-բանալի սերվերների ցանցի վրա կատարված վերջին հարձակման մասին

Հաքերները շահագործել են OpenPGP արձանագրության առանձնահատկությունը, որը հայտնի է ավելի քան մեկ տասնամյակ:

Մենք ձեզ ասում ենք, թե որն է էությունը և ինչու այն չի կարող փակվել:

/Unsplash/ Չունլեա Ջու

Ցանցային խնդիրներ

Հունիսի կեսերին անհայտ անձինք հարձակում է իրականացրել գաղտնագրման բանալիների սերվերների ցանցին SKS Keyserver, կառուցված OpenPGP արձանագրության հիման վրա։ Սա IETF ստանդարտ է (RFC 4880), որն օգտագործվում է էլփոստի և այլ հաղորդագրությունների գաղտնագրման համար: SKS ցանցը ստեղծվել է երեսուն տարի առաջ հանրային հավաստագրերի բաշխման նպատակով: Գործիքներ, ինչպիսիք են GnuPG տվյալների կոդավորման և էլեկտրոնային թվային ստորագրությունների ստեղծման համար:

Հաքերները խախտել են GnuPG նախագծի երկու սպասարկողների՝ Ռոբերտ Հանսենի և Դանիել Գիլմորի վկայականները: Սերվերից վնասված վկայականի բեռնումը հանգեցնում է GnuPG-ի խափանման. համակարգը պարզապես սառեցնում է: Հիմքեր կան ենթադրելու, որ հարձակվողները դրանով չեն դադարի, և վտանգված վկայականների թիվը միայն կավելանա։ Ներկա պահին խնդրի չափն անհայտ է մնում։

Հարձակման էությունը

Հաքերները շահագործել են OpenPGP արձանագրության խոցելիությունը: Նա հանրությանը հայտնի է տասնամյակներ շարունակ։ Նույնիսկ GitHub-ում կարող է գտնել համապատասխան սխրագործություններ։ Բայց մինչ այժմ ոչ ոք պատասխանատվություն չի ստանձնել «փոսը» փակելու համար (պատճառների մասին ավելի մանրամասն կխոսենք ավելի ուշ):

Habr-ի մեր բլոգից մի քանի ընտրություն.

• SDN digest - վեց բաց կոդով էմուլյատորներ
• Ինչպես կառուցել SDN - ութ բաց կոդով գործիքներ
• Ցանցի ամփոփում. 17 փորձագիտական ​​նյութեր Wi-Fi-ի և 5G-ի մասին

Ըստ OpenPGP-ի հստակեցման՝ յուրաքանչյուր ոք կարող է թվային ստորագրություններ ավելացնել վկայագրերին՝ իրենց սեփականատիրոջը հաստատելու համար: Ընդ որում, ստորագրությունների առավելագույն քանակը որեւէ կերպ չի կարգավորվում։ Եվ այստեղ խնդիր է առաջանում՝ SKS ցանցը թույլ է տալիս մեկ վկայագրի վրա տեղադրել մինչև 150 հազար ստորագրություն, սակայն GnuPG-ն նման թիվ չի ապահովում։ Այսպիսով, վկայականը բեռնելիս GnuPG-ն (ինչպես նաև OpenPGP-ի մյուս իրականացումները) կախված է:

Օգտագործողներից մեկը փորձարկում է անցկացրել — վկայականը ներմուծելու համար նրանից պահանջվեց մոտ 10 րոպե։ Վկայականն ուներ ավելի քան 54 հազար ստորագրություն, իսկ քաշը՝ 17 ՄԲ.

$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <dkg@fifthhorseman.net>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg:               imported: 1
$ ls -lh pubring.gpg
-rw-r--r--  1 filippo  staff    17M  2 Jul 16:30 pubring.gpg

Իրավիճակը վատթարանում է այն փաստը, որ OpenPGP բանալի սերվերները չեն հեռացնում վկայականի տեղեկատվությունը: Դա արվում է, որպեսզի հնարավոր լինի վկայականներով հետևել բոլոր գործողությունների շղթային և բացառել դրանց փոխարինումը։ Հետեւաբար, անհնար է վերացնել վտանգված տարրերը:

Ըստ էության, SKS ցանցը մեծ «ֆայլի սերվեր» է, որի վրա յուրաքանչյուրը կարող է տվյալներ գրել։ Խնդիրը պատկերացնելու համար անցյալ տարի GitHub-ի բնակիչը ստեղծել է ֆայլային համակարգ, որը փաստաթղթերը պահում է ծածկագրային բանալիների սերվերների ցանցում:

Ինչու խոցելիությունը չի փակվել

Խոցելիությունը փակելու պատճառ չկար։ Այն նախկինում չի օգտագործվել հաքերային հարձակումներ իրականացնելու համար։ Թեեւ ՏՏ համայնքը Ես վաղուց էի հարցնում SKS-ի և OpenPGP-ի մշակողները՝ ուշադրություն դարձնել խնդրին:

Արդարության համար պետք է նշել, որ հունիսին նրանք դեռ գործարկվել է փորձարարական բանալի սերվեր keys.openpgp.org. Այն իրականացրել է պաշտպանություն այս տեսակի հարձակումներից: Այնուամենայնիվ, նրա տվյալների բազան լցված է զրոյից, և սերվերն ինքնին SKS-ի մաս չէ: Այսպիսով, որոշ ժամանակ կպահանջվի, մինչև այն հնարավոր լինի օգտագործել:

/Unsplash/ Ռուբեն Բագես

Ինչ վերաբերում է սկզբնական համակարգում առկա սխալին, ապա համաժամացման բարդ մեխանիզմը թույլ չի տալիս այն շտկել: Հիմնական սերվերի ցանցը սկզբնապես գրվել է որպես Յարոն Մինսկի թեկնածուական թեզի հայեցակարգի ապացույց: Ընդ որում, աշխատանքի համար ընտրվել է բավականին կոնկրետ լեզու OCaml։ Ըստ ըստ սպասարկող Ռոբերտ Հանսենը, կոդը դժվար է հասկանալ, ուստի արվում են միայն աննշան շտկումներ: SKS-ի ճարտարապետությունը փոփոխելու համար այն պետք է վերաշարադրվի զրոյից:

Ամեն դեպքում, GnuPG-ն չի հավատում, որ ցանցը երբևէ կշտկվի։ GitHub-ում գրառման մեջ մշակողները նույնիսկ գրել են, որ խորհուրդ չեն տալիս աշխատել SKS Keyserver-ի հետ։ Իրականում սա հիմնական պատճառներից մեկն է, թե ինչու նրանք նախաձեռնեցին անցումը նոր keys.openpgp.org ծառայությանը։ Մեզ մնում է միայն հետևել, թե ինչպես են զարգանում իրադարձությունները։

Մի քանի նյութ մեր կորպորատիվ բլոգից.

• Botnet-ը «սպամ» է ուղարկում երթուղիչների միջոցով. այն, ինչ դուք պետք է իմանաք
• DDoS և 5G. Որքան ավելի հաստ է խողովակը, այնքան ավելի շատ խնդիրներ
• Firewall կամ DPI - պաշտպանության գործիքներ տարբեր նպատակների համար
• Ինտերնետ դեպի գյուղ - ռադիոռելեի Wi-Fi ցանցի կառուցում

Source: www.habr.com