Хакерлер OpenPGP протоколының он жылдан астам уақыт бойы белгілі мүмкіндігін пайдаланды.
Мұның мәні неде және неге олар оны жаба алмайтынын айтамыз.
/Usplash/
Желі проблемалары
Маусым айының ортасында, белгісіз криптографиялық кілт серверлерінің желісіне , OpenPGP протоколында құрастырылған. Бұл IETF стандарты (), ол электрондық поштаны және басқа хабарларды шифрлау үшін пайдаланылады. SKS желісі отыз жыл бұрын жалпыға ортақ сертификаттарды тарату үшін құрылған. сияқты құралдарды қамтиды деректерді шифрлауға және электрондық цифрлық қолтаңбаларды жасауға арналған.
Хакерлер GnuPG жобасының екі қолдаушысы Роберт Хансен мен Дэниел Гиллмордың сертификаттарын бұзды. Серверден бүлінген сертификатты жүктеу GnuPG сәтсіздігін тудырады — жүйе жай ғана қатып қалады. Шабуыл жасаушылар мұнымен тоқтап қалмайды, ал бұзылған сертификаттардың саны артады деп айтуға негіз бар. Қазіргі уақытта мәселенің ауқымы белгісіз.
Шабуылдың мәні
Хакерлер OpenPGP протоколындағы осалдықты пайдаланды. Ол ондаған жылдар бойы қоғамға белгілі. Тіпті GitHub-да сәйкес эксплуатациялар. Бірақ әзірге «тесікті» жабу жауапкершілігін ешкім өз мойнына алған жоқ (себептер туралы кейінірек толығырақ айтатын боламыз).
Хабредегі блогымыздан бірнеше таңдау:
OpenPGP спецификациясына сәйкес, кез келген адам иесін растау үшін сертификаттарға цифрлық қолтаңбаны қоса алады. Оның үстіне қолдардың максималды саны ешқандай жолмен реттелмеген. Міне, мәселе туындайды - SKS желісі бір сертификатқа 150 мыңға дейін қол қоюға мүмкіндік береді, бірақ GnuPG мұндай нөмірді қолдамайды. Осылайша, сертификатты жүктеген кезде GnuPG (сонымен қатар басқа OpenPGP іске асырулары) қатып қалады.
Пайдаланушылардың бірі — сертификатты әкелу оған 10 минуттай уақытты алды. Куәлікте 54 мыңнан астам қол болды, салмағы 17 МБ болды:
$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1
$ ls -lh pubring.gpg
-rw-r--r-- 1 filippo staff 17M 2 Jul 16:30 pubring.gpg
Мәселені нашарлату үшін, OpenPGP кілт серверлері сертификат ақпаратын жоймайды. Бұл сертификаттармен барлық әрекеттер тізбегін бақылап, олардың ауыстырылуын болдырмау үшін жасалады. Сондықтан бұзылған элементтерді жою мүмкін емес.
Негізінде, SKS желісі кез келген адам деректер жаза алатын үлкен «файлдық сервер» болып табылады. Мәселені көрсету үшін, өткен жылы GitHub резиденті , ол криптографиялық кілт серверлер желісінде құжаттарды сақтайды.
Неліктен осалдық жабылмады?
Осалдықты жабуға ешқандай себеп болған жоқ. Бұрын ол хакерлік шабуылдар үшін пайдаланылмаған. IT қауымдастығы болса да SKS және OpenPGP әзірлеушілері мәселеге назар аударуы керек.
Әділ болу үшін, маусым айында олар әлі де екенін атап өткен жөн эксперименттік кілт сервері . Ол осындай шабуылдардан қорғауды қамтамасыз етеді. Дегенмен, оның дерекқоры нөлден бастап толтырылған және сервердің өзі SKS құрамына кірмейді. Сондықтан оны пайдалану үшін уақыт қажет.
/Usplash/
Түпнұсқа жүйедегі қатеге келетін болсақ, күрделі синхрондау механизмі оны түзетуге жол бермейді. Негізгі серверлік желі бастапқыда Ярон Минскидің кандидаттық диссертациясының тұжырымдамасының дәлелі ретінде жазылған. Сонымен қатар, жұмыс үшін өте нақты тіл, OCaml таңдалды. Авторы қолдаушы Роберт Хансен, кодты түсіну қиын, сондықтан оған тек шамалы түзетулер енгізіледі. SKS архитектурасын өзгерту үшін оны нөлден қайта жазу керек болады.
Қалай болғанда да, GnuPG желінің ешқашан түзетілетініне сенбейді. GitHub-тағы жазбада әзірлеушілер тіпті SKS Keyserver-пен жұмыс істеуді ұсынбайтындарын жазды. Шын мәнінде, бұл олардың жаңа keys.openpgp.org қызметіне көшуінің басты себептерінің бірі. Біз оқиғалардың одан әрі дамуын ғана бақылай аламыз.
Біздің корпоративтік блогымыздан бірнеше материалдар:
Ақпарат көзі: www.habr.com