Tölvuþrjótarnir notuðu eiginleika OpenPGP samskiptareglunnar sem hefur verið þekktur í meira en tíu ár.
Við segjum þér hvað málið er og hvers vegna þeir geta ekki lokað því.
/unsplash/
Netvandamál
Um miðjan júní, óþekkt á neti dulmálslykilþjóna , byggt á OpenPGP samskiptareglunum. Þetta er IETF staðall (), sem er notað til að dulkóða tölvupóst og önnur skilaboð. SKS-netið var stofnað fyrir þrjátíu árum til að dreifa opinberum skírteinum. Það felur í sér verkfæri eins og til að dulkóða gögn og búa til rafrænar stafrænar undirskriftir.
Tölvuþrjótar hættu við skírteini tveggja GnuPG verkefnisstjóra, Robert Hansen og Daniel Gillmor. Að hlaða skemmdu vottorði frá þjóninum veldur því að GnuPG bilar - kerfið einfaldlega frýs. Ástæða er til að ætla að árásarmennirnir láti ekki staðar numið þar og fjöldi skírteina sem hafa verið í hættu mun aðeins aukast. Í augnablikinu er enn óþekkt umfang vandans.
Kjarni árásarinnar
Tölvuþrjótar nýttu sér varnarleysi í OpenPGP samskiptareglunum. Hún hefur verið þekkt í samfélaginu í áratugi. Jafnvel á GitHub samsvarandi hetjudáð. En hingað til hefur enginn tekið ábyrgð á því að loka „gatinu“ (við munum tala nánar um ástæðurnar síðar).
Nokkur úrval af blogginu okkar á Habré:
Samkvæmt OpenPGP forskriftinni getur hver sem er bætt stafrænum undirskriftum við vottorð til að staðfesta eiganda sinn. Þar að auki er hámarksfjöldi undirskrifta ekki stjórnað á nokkurn hátt. Og hér kemur upp vandamál - SKS netið gerir þér kleift að setja allt að 150 þúsund undirskriftir á eitt vottorð, en GnuPG styður ekki slíkt númer. Þannig, þegar skírteinið er hlaðið, frýs GnuPG (sem og aðrar OpenPGP útfærslur).
Einn notendanna — Innflutningur vottorðsins tók hann um 10 mínútur. Vottorðið hafði meira en 54 þúsund undirskriftir og þyngd þess var 17 MB:
$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1
$ ls -lh pubring.gpg
-rw-r--r-- 1 filippo staff 17M 2 Jul 16:30 pubring.gpg
Til að gera illt verra, fjarlægja OpenPGP lyklaþjóna ekki upplýsingar um vottorð. Þetta er gert til að hægt sé að rekja keðju allra aðgerða með vottorðum og koma í veg fyrir að þeim komi í staðinn. Þess vegna er ómögulegt að útrýma málamiðluðum þáttum.
Í meginatriðum er SKS netið stór „skjalaþjónn“ sem allir geta skrifað gögn á. Til að sýna vandamálið, á síðasta ári GitHub heimilisfastur , sem geymir skjöl á neti dulmálslyklaþjóna.
Af hverju var veikleikanum ekki lokað?
Það var engin ástæða til að loka varnarleysinu. Áður var það ekki notað fyrir tölvuþrjótaárásir. Þó upplýsingatæknisamfélagið SKS og OpenPGP forritarar ættu að borga eftirtekt til vandamálsins.
Til að vera sanngjarn, það er athyglisvert að í júní þeir enn tilraunalyklaþjónn . Það veitir vernd gegn þessum tegundum árása. Hins vegar er gagnagrunnur hans byggður frá grunni og þjónninn sjálfur er ekki hluti af SKS. Þess vegna mun það taka tíma áður en hægt er að nota það.
/unsplash/
Hvað varðar villuna í upprunalega kerfinu kemur flókið samstillingarkerfi í veg fyrir að hægt sé að laga hana. Lykilmiðlaranetið var upphaflega skrifað sem sönnun á hugmyndinni fyrir doktorsritgerð Yaron Minsky. Ennfremur var frekar ákveðið tungumál, OCaml, valið fyrir verkið. By viðhaldsaðili Robert Hansen, er erfitt að skilja kóðann og því eru aðeins gerðar smávægilegar leiðréttingar á honum. Til að breyta SKS arkitektúrnum verður að endurskrifa hann frá grunni.
Í öllum tilvikum trúir GnuPG ekki að símkerfið verði nokkurn tíma lagað. Í færslu á GitHub skrifuðu verktaki jafnvel að þeir mælum ekki með að vinna með SKS Keyserver. Reyndar er þetta ein helsta ástæðan fyrir því að þeir hófu umskiptin yfir í nýju þjónustuna keys.openpgp.org. Við getum aðeins fylgst með frekari þróun atburða.
Nokkur efni úr fyrirtækjablogginu okkar:
Heimild: www.habr.com