D'Hacker hunn eng Feature vum OpenPGP Protokoll benotzt, dee fir méi wéi zéng Joer bekannt ass.
Mir soen Iech wat de Punkt ass a firwat se et net zoumaachen.
/Unsplash/
Netzwierkproblemer
Mëtt Juni onbekannt
Hacker hunn d'Zertifikater vun zwee GnuPG-Projet-Inhalter kompromittéiert, Robert Hansen an Daniel Gillmor. Lueden e korrupt Zertifika vum Server verursaacht GnuPG ze versoen - de System freet einfach. Et gëtt Grond ze gleewen datt d'Ugräifer net do ophalen, an d'Zuel vun de kompromittéierten Zertifikater wäert nëmmen eropgoen. Am Moment bleift d'Ausmooss vum Problem onbekannt.
D'Essenz vun der Attack
Hacker profitéiere vun enger Schwachstelle am OpenPGP Protokoll. Si ass fir Joerzéngte der Communautéit bekannt. Och op GitHub
E puer Auswiel aus eisem Blog op Habré:
No der OpenPGP Spezifizéierung kann jidderee digital Ënnerschrëften op Zertifikater derbäisetzen fir hire Besëtzer z'iwwerpréiwen. Ausserdeem ass d'maximal Unzuel vun Ënnerschrëften op keng Manéier geregelt. An hei entsteet e Problem - de SKS Netz erlaabt Iech bis zu 150 Tausend Ënnerschrëften op engem Zertifika ze setzen, awer GnuPG ënnerstëtzt net sou eng Zuel. Also, beim Luede vum Zertifika, freet GnuPG (wéi och aner OpenPGP Implementatiounen).
Ee vun de Benotzer
$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1
$ ls -lh pubring.gpg
-rw-r--r-- 1 filippo staff 17M 2 Jul 16:30 pubring.gpg
Fir d'Saache méi schlëmm ze maachen, läschen OpenPGP Schlësselserver keng Zertifikainformatioun. Dëst gëtt gemaach fir datt Dir d'Kette vun all Aktiounen mat Zertifikater verfolgt an hir Substitutioun verhënneren. Dofir ass et onméiglech kompromittéiert Elementer ze eliminéieren.
Wesentlech ass de SKS Netz e grousse "Dateiserver" op dee jidderee kann Daten schreiwen. Fir de Problem ze illustréieren, lescht Joer GitHub Awunner
Firwat war d'Schwachstelle net zou?
Et war kee Grond fir d'Schwachheet zouzemaachen. Virdru gouf et net fir Hackerattacke benotzt. Obwuel d'IT Communautéit
Fir fair ze sinn, ass et derwäert ze notéieren datt se am Juni nach ëmmer sinn
/Unsplash/
Wat de Käfer am urspréngleche System ugeet, verhënnert e komplexe Synchroniséierungsmechanismus datt et fixéiert gëtt. De Schlësselservernetz gouf ursprénglech als Beweis vum Konzept fir dem Yaron Minsky seng PhD Dissertatioun geschriwwen. Ausserdeem gouf eng zimlech spezifesch Sprooch, OCaml, fir d'Aarbecht gewielt. Vun
Op alle Fall gleeft GnuPG net datt d'Netzwierk jeemools fixéiert gëtt. An engem Post op GitHub hunn d'Entwéckler souguer geschriwwen datt se net recommandéieren mat SKS Keyserver ze schaffen. Eigentlech ass dëst ee vun den Haaptgrënn firwat se den Iwwergang op den neie Service keys.openpgp.org initiéiert hunn. Mir kënnen nëmmen d'Weiderentwécklung vun Eventer kucken.
E puer Materialien aus eisem Firmeblog:
Source: will.com