හැකර්වරු වසර දහයකට වැඩි කාලයක් තිස්සේ දන්නා OpenPGP ප්රොටෝකෝලයේ විශේෂාංගයක් භාවිතා කළහ.
කාරණය කුමක්ද සහ ඔවුන්ට එය වසා දැමිය නොහැක්කේ මන්දැයි අපි ඔබට කියමු.
/Unsplash/
ජාල ගැටළු
ජූනි මැද, නොදන්නා ගුප්ත ලේඛන යතුරු සේවාදායකයන් ජාලයකට , OpenPGP ප්රොටෝකෝලය මත ගොඩනගා ඇත. මෙය IETF ප්රමිතියකි (), ඊමේල් සහ අනෙකුත් පණිවිඩ සංකේතනය කිරීමට භාවිතා කරයි. මහජන සහතික බෙදා හැරීම සඳහා වසර තිහකට පෙර SKS ජාලය නිර්මාණය කරන ලදී. වැනි මෙවලම් එයට ඇතුළත් වේ දත්ත සංකේතනය කිරීම සහ ඉලෙක්ට්රොනික ඩිජිටල් අත්සන් නිර්මාණය කිරීම සඳහා.
හැකර්වරු GnuPG ව්යාපෘති නඩත්තු කරන්නන් දෙදෙනෙකු වන රොබට් හැන්සන් සහ ඩැනියෙල් ගිල්මෝර්ගේ සහතික සම්මුතියකට ලක් කළහ. සේවාදායකයෙන් දූෂිත සහතිකයක් පූරණය කිරීම GnuPG අසමත් වීමට හේතු වේ - පද්ධතිය හුදෙක් කැටි වේ. පහර දෙන්නන් එතැනින් නොනවතින බව විශ්වාස කිරීමට හේතුවක් ඇත, සම්මුතියට පත් සහතික ගණන වැඩි වනු ඇත. මේ මොහොතේ, ගැටලුවේ තරම තවමත් නොදනී.
ප්රහාරයේ සාරය
හැකර්වරු OpenPGP ප්රොටෝකෝලය තුළ ඇති දුර්වලතාවයෙන් ප්රයෝජන ගත්හ. ඇය දශක ගණනාවක් තිස්සේ ප්රජාව දන්නා කරුණකි. GitHub මත පවා අනුරූප සූරාකෑම්. නමුත් මේ වන තෙක් කිසිවෙකු "කුහරය" වසා දැමීමේ වගකීම භාරගෙන නොමැත (අපි පසුව වඩාත් විස්තරාත්මකව හේතු ගැන කතා කරමු).
Habré හි අපගේ බ්ලොග් අඩවියෙන් තේරීම් කිහිපයක්:
OpenPGP පිරිවිතරයන්ට අනුව, ඕනෑම කෙනෙකුට තම හිමිකරු සත්යාපනය කිරීම සඳහා සහතිකවලට ඩිජිටල් අත්සන් එක් කළ හැකිය. එපමණක් නොව, උපරිම අත්සන් සංඛ්යාව කිසිදු ආකාරයකින් නියාමනය නොකෙරේ. මෙහිදී ගැටළුවක් පැන නගී - SKS ජාලය ඔබට එක් සහතිකයක අත්සන් 150 ක් දක්වා තැබීමට ඉඩ සලසයි, නමුත් GnuPG එවැනි අංකයකට සහය නොදක්වයි. මේ අනුව, සහතිකය පැටවීමේදී, GnuPG (මෙන්ම අනෙකුත් OpenPGP ක්රියාත්මක කිරීම්) කැටි වේ.
භාවිතා කරන්නන්ගෙන් කෙනෙක් - සහතිකය ආනයනය කිරීමට ඔහුට විනාඩි 10 ක් පමණ ගත විය. සහතිකයේ අත්සන් 54 දහසකට වඩා තිබූ අතර එහි බර 17 MB විය:
$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1
$ ls -lh pubring.gpg
-rw-r--r-- 1 filippo staff 17M 2 Jul 16:30 pubring.gpg
කාරණා වඩාත් නරක අතට හැරීම සඳහා, OpenPGP යතුරු සේවාදායකයන් සහතික තොරතුරු ඉවත් නොකරයි. මෙය සිදු කරනුයේ ඔබට සහතික සමඟ සියලුම ක්රියා දාමය සොයා ගැනීමට සහ ඒවා ආදේශ කිරීම වැලැක්වීමට හැකි වන පරිදි ය. එබැවින්, සම්මුතියට පත් වූ මූලද්රව්ය ඉවත් කිරීමට නොහැකි ය.
අත්යවශ්යයෙන්ම, SKS ජාලය ඕනෑම කෙනෙකුට දත්ත ලිවිය හැකි විශාල "ගොනු සේවාදායකයක්" වේ. ගැටලුව නිදර්ශනය කිරීම සඳහා, පසුගිය වසරේ GitHub පදිංචිකරු , ගුප්ත ලේඛන යතුරු සේවාදායක ජාලයක ලේඛන ගබඩා කරයි.
අවදානම වසා නොදැමුවේ ඇයි?
අවදානම වසා දැමීමට කිසිදු හේතුවක් නොතිබුණි. මීට පෙර, එය හැකර් ප්රහාර සඳහා භාවිතා නොකළේය. තොරතුරු තාක්ෂණ ප්රජාව වුවද SKS සහ OpenPGP සංවර්ධකයින් ගැටලුව කෙරෙහි අවධානය යොමු කළ යුතුය.
සාධාරණ වීමට නම්, ඔවුන් තවමත් ජුනි මාසයේදී බව සඳහන් කිරීම වටී පර්යේෂණාත්මක යතුරු සේවාදායකය . එය මෙවැනි ප්රහාර වලින් ආරක්ෂාව සපයයි. කෙසේ වෙතත්, එහි දත්ත සමුදාය මුල සිටම ජනාකීර්ණ වන අතර, සේවාදායකයම SKS හි කොටසක් නොවේ. එමනිසා, එය භාවිතා කිරීමට පෙර කාලය ගතවනු ඇත.
/Unsplash/
මුල් පද්ධතියේ දෝෂය සඳහා, සංකීර්ණ සමමුහුර්ත කිරීමේ යාන්ත්රණයක් එය නිවැරදි කිරීම වළක්වයි. ප්රධාන සේවාදායක ජාලය මුලින් ලියා ඇත්තේ යාරොන් මින්ස්කිගේ ආචාර්ය උපාධි නිබන්ධනය සඳහා සංකල්පයේ සාක්ෂියක් ලෙස ය. එපමණක් නොව, කාර්යය සඳහා තරමක් නිශ්චිත භාෂාවක් වන OCaml තෝරා ගන්නා ලදී. විසින් නඩත්තු කරන්නා වන රොබට් හැන්සන්, කේතය තේරුම් ගැනීමට අපහසු බැවින් එහි කුඩා නිවැරදි කිරීම් පමණක් සිදු කෙරේ. SKS ගෘහ නිර්මාණ ශිල්පය වෙනස් කිරීමට, එය මුල සිට නැවත ලිවිය යුතුය.
ඕනෑම අවස්ථාවක, GnuPG ජාලය කිසිදා ස්ථාවර වනු ඇතැයි විශ්වාස නොකරයි. GitHub හි සටහනක, සංවර්ධකයින් පවා ලියා ඇත්තේ ඔවුන් SKS Keyserver සමඟ වැඩ කිරීමට නිර්දේශ නොකරන බවයි. ඇත්ත වශයෙන්ම, ඔවුන් නව සේවා keys.openpgp.org වෙත සංක්රමණය ආරම්භ කිරීමට එක් ප්රධාන හේතුවක් මෙයයි. අපට නැරඹිය හැක්කේ සිදුවීම් තවදුරටත් වර්ධනය වීම පමණි.
අපගේ ආයතනික බ්ලොග් අඩවියෙන් ද්රව්ය කිහිපයක්:
මූලාශ්රය: www.habr.com