Peretas ngagunakeun fitur protokol OpenPGP anu parantos dikenal langkung ti sapuluh taun.
Urang ngabejaan ka maneh naon titik sarta naha maranéhna teu bisa nutup eta.
/Unsplash/
Masalah jaringan
Dina pertengahan Juni, kanyahoan
Peretas kompromi sertipikat dua pangurus proyék GnuPG, Robert Hansen sareng Daniel Gillmor. Ngamuat sertipikat anu rusak tina server nyababkeun GnuPG gagal - sistemna ngan saukur beku. Aya alesan pikeun yakin yén panyerang moal eureun di dinya, sareng jumlah sertipikat anu dikompromi ngan bakal ningkat. Di momen, extent masalah tetep kanyahoan.
Hakekat narajang
Peretas ngamangpaatkeun kerentanan dina protokol OpenPGP. Manehna geus dipikawanoh ku masarakat salila sababaraha dekade. Malah dina GitHub
Sababaraha pilihan tina blog kami dina Habré:
Numutkeun spésifikasi OpenPGP, saha waé tiasa nambihan tanda tangan digital kana sertipikat pikeun pariksa anu gaduhna. Sumawona, jumlah maksimal tanda tangan henteu diatur ku cara naon waé. Sareng di dieu aya masalah - jaringan SKS ngamungkinkeun anjeun pikeun nempatkeun dugi ka 150 rébu tanda tangan dina hiji sertipikat, tapi GnuPG henteu ngadukung nomer sapertos kitu. Janten, nalika ngamuat sertipikat, GnuPG (sareng palaksanaan OpenPGP sanésna) beku.
Salah sahiji pangguna
$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1
$ ls -lh pubring.gpg
-rw-r--r-- 1 filippo staff 17M 2 Jul 16:30 pubring.gpg
Anu langkung parah, server konci OpenPGP henteu ngaleungitkeun inpormasi sertipikat. Hal ieu dilakukeun supados anjeun tiasa ngalacak ranté sadaya tindakan kalayan sertipikat sareng nyegah substitusina. Ku alatan éta, teu mungkin pikeun ngaleungitkeun unsur compromised.
Intina, jaringan SKS mangrupikeun "server file" ageung dimana saha waé tiasa nyerat data. Pikeun ngagambarkeun masalah, taun ka tukang GitHub nyicingan
Naha kerentananna henteu ditutup?
Teu aya alesan pikeun nutup kerentanan. Saméméhna, éta teu dipaké pikeun serangan hacker. Sanajan masarakat IT
Janten adil, eta sia noting yén dina Juni maranéhna kénéh
/Unsplash/
Sedengkeun pikeun bug dina sistem aslina, mékanisme sinkronisasi kompléks nyegah eta teu dibereskeun. Jaringan server konci asalna ditulis salaku bukti konsép pikeun tesis PhD Yaron Minsky. Leuwih ti éta, basa rada husus, OCaml, dipilih pikeun digawé. Ku
Dina naon waé, GnuPG henteu percanten yén jaringan éta bakal dibenerkeun. Dina postingan di GitHub, pamekar malah nyerat yén aranjeunna henteu nyarankeun damel sareng SKS Keyserver. Sabenerna, ieu salah sahiji alesan utama naha maranéhna ngagagas transisi ka keys.openpgp.org layanan anyar. Urang ngan ukur tiasa ningali perkembangan acara salajengna.
Sababaraha bahan tina blog perusahaan kami:
sumber: www.habr.com