பிந்தைய பகுப்பாய்வு: கிரிப்டோ-விசை சேவையகங்களின் SKS கீசர்வர் நெட்வொர்க்கில் சமீபத்திய தாக்குதல் பற்றி அறியப்பட்டது

ஹேக்கர்கள் பத்து ஆண்டுகளுக்கும் மேலாக அறியப்பட்ட OpenPGP நெறிமுறையின் அம்சத்தைப் பயன்படுத்தினர்.

என்ன விஷயம், ஏன் அவர்களால் அதை மூட முடியாது என்பதை நாங்கள் உங்களுக்கு சொல்கிறோம்.

/அன்ஸ்பிளாஷ்/ சுன்லியா ஜூ

நெட்வொர்க் சிக்கல்கள்

ஜூன் நடுப்பகுதியில், தெரியவில்லை தாக்குதலை நடத்தியது கிரிப்டோகிராஃபிக் கீ சர்வர்களின் நெட்வொர்க்கிற்கு SKS கீசர்வர், OpenPGP நெறிமுறையில் கட்டப்பட்டது. இது ஒரு IETF தரநிலை (RFC 4880), இது மின்னஞ்சல் மற்றும் பிற செய்திகளை குறியாக்கப் பயன்படுகிறது. SKS நெட்வொர்க் முப்பது ஆண்டுகளுக்கு முன்பு பொது சான்றிதழ்களை விநியோகிக்க உருவாக்கப்பட்டது. போன்ற கருவிகள் இதில் அடங்கும் GnuPG ஐ கட்டாயமாக வெளியிடச் தரவை குறியாக்கம் செய்வதற்கும் மின்னணு டிஜிட்டல் கையொப்பங்களை உருவாக்குவதற்கும்.

இரண்டு GnuPG திட்ட பராமரிப்பாளர்களான ராபர்ட் ஹேன்சன் மற்றும் டேனியல் கில்மோர் ஆகியோரின் சான்றிதழ்களை ஹேக்கர்கள் சமரசம் செய்தனர். சர்வரில் இருந்து ஒரு சிதைந்த சான்றிதழை ஏற்றுவது GnuPG தோல்வியடைகிறது - கணினி வெறுமனே உறைகிறது. தாக்குபவர்கள் அங்கு நிற்க மாட்டார்கள் என்று நம்புவதற்கு காரணம் உள்ளது, மேலும் சமரசம் செய்யப்பட்ட சான்றிதழ்களின் எண்ணிக்கை மட்டுமே அதிகரிக்கும். தற்போது, ​​பிரச்சனையின் அளவு தெரியவில்லை.

தாக்குதலின் சாராம்சம்

OpenPGP நெறிமுறையில் உள்ள பாதிப்பை ஹேக்கர்கள் பயன்படுத்திக் கொண்டனர். அவள் பல தசாப்தங்களாக சமூகத்திற்கு அறியப்பட்டவள். GitHub இல் கூட கண்டுபிடிக்க முடியும் தொடர்புடைய சுரண்டல்கள். ஆனால் "துளையை" மூடுவதற்கு இதுவரை யாரும் பொறுப்பேற்கவில்லை (காரணங்களைப் பற்றி பின்னர் விரிவாகப் பேசுவோம்).

Habré இல் எங்கள் வலைப்பதிவில் இருந்து சில தேர்வுகள்:

• SDN டைஜஸ்ட் - ஆறு திறந்த மூல முன்மாதிரிகள்
• SDN ஐ எவ்வாறு உருவாக்குவது - எட்டு திறந்த மூலக் கருவிகள்
• நெட்வொர்க் டைஜஸ்ட்: வைஃபை மற்றும் 17ஜி பற்றிய 5 நிபுணர்கள்

OpenPGP விவரக்குறிப்பின்படி, எவரும் தங்கள் உரிமையாளரைச் சரிபார்க்க சான்றிதழ்களில் டிஜிட்டல் கையொப்பங்களைச் சேர்க்கலாம். மேலும், அதிகபட்ச கையொப்பங்கள் எந்த வகையிலும் கட்டுப்படுத்தப்படவில்லை. இங்கே ஒரு சிக்கல் எழுகிறது - SKS நெட்வொர்க் ஒரு சான்றிதழில் 150 ஆயிரம் கையொப்பங்கள் வரை வைக்க உங்களை அனுமதிக்கிறது, ஆனால் GnuPG அத்தகைய எண்ணை ஆதரிக்காது. இவ்வாறு, சான்றிதழை ஏற்றும் போது, ​​GnuPG (மற்றும் மற்ற OpenPGP செயலாக்கங்கள்) உறைகிறது.

பயன்படுத்துபவர்களில் ஒருவர் ஒரு சோதனை நடத்தினார் - சான்றிதழை இறக்குமதி செய்ய அவருக்கு 10 நிமிடங்கள் ஆனது. சான்றிதழில் 54 ஆயிரத்துக்கும் மேற்பட்ட கையொப்பங்கள் இருந்தன, அதன் எடை 17 எம்பி:

$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg:               imported: 1
$ ls -lh pubring.gpg
-rw-r--r--  1 filippo  staff    17M  2 Jul 16:30 pubring.gpg

விஷயங்களை மோசமாக்க, OpenPGP முக்கிய சேவையகங்கள் சான்றிதழ் தகவலை அகற்றாது. சான்றிதழ்கள் மூலம் அனைத்து செயல்களின் சங்கிலியையும் நீங்கள் கண்டுபிடித்து அவற்றின் மாற்றீட்டைத் தடுக்க இது செய்யப்படுகிறது. எனவே, சமரசம் செய்யப்பட்ட கூறுகளை அகற்றுவது சாத்தியமில்லை.

அடிப்படையில், SKS நெட்வொர்க் என்பது ஒரு பெரிய "கோப்பு சேவையகம்" ஆகும், அதில் யார் வேண்டுமானாலும் தரவை எழுதலாம். சிக்கலை விளக்க, கடந்த ஆண்டு கிட்ஹப் குடியிருப்பாளர் ஒரு கோப்பு முறைமையை உருவாக்கியது, இது கிரிப்டோகிராஃபிக் கீ சர்வர்களின் நெட்வொர்க்கில் ஆவணங்களைச் சேமிக்கிறது.

பாதிப்பு ஏன் மூடப்படவில்லை?

பாதிப்பை மூட எந்த காரணமும் இல்லை. முன்னதாக, இது ஹேக்கர் தாக்குதல்களுக்கு பயன்படுத்தப்படவில்லை. ஐடி சமூகம் என்றாலும் நீண்ட நேரம் கேட்டார் SKS மற்றும் OpenPGP டெவலப்பர்கள் சிக்கலில் கவனம் செலுத்த வேண்டும்.

சரியாகச் சொல்வதானால், ஜூன் மாதத்தில் அவை இன்னும் உள்ளன என்பது கவனிக்கத்தக்கது தொடங்கப்பட்டது சோதனை விசை சேவையகம் keys.openpgp.org. இது இந்த வகையான தாக்குதல்களுக்கு எதிராக பாதுகாப்பை வழங்குகிறது. இருப்பினும், அதன் தரவுத்தளம் புதிதாக மக்கள்தொகை கொண்டது, மேலும் சேவையகம் SKS இன் பகுதியாக இல்லை. எனவே, அதைப் பயன்படுத்துவதற்கு நேரம் எடுக்கும்.

/அன்ஸ்பிளாஷ்/ ரூபன் பாகுஸ்

அசல் அமைப்பில் உள்ள பிழையைப் பொறுத்தவரை, ஒரு சிக்கலான ஒத்திசைவு பொறிமுறையானது அதை சரிசெய்வதைத் தடுக்கிறது. முக்கிய சர்வர் நெட்வொர்க் முதலில் யாரோன் மின்ஸ்கியின் பிஎச்டி ஆய்வறிக்கைக்கு ஒரு சான்றாக எழுதப்பட்டது. மேலும், ஒரு குறிப்பிட்ட மொழி, OCaml, வேலைக்காக தேர்ந்தெடுக்கப்பட்டது. மூலம் படி பராமரிப்பாளர் ராபர்ட் ஹேன்சன், குறியீட்டைப் புரிந்துகொள்வது கடினம், எனவே சிறிய திருத்தங்கள் மட்டுமே செய்யப்படுகின்றன. SKS கட்டமைப்பை மாற்ற, அது புதிதாக மீண்டும் எழுதப்பட வேண்டும்.

எப்படியிருந்தாலும், நெட்வொர்க் எப்போதாவது சரி செய்யப்படும் என்று GnuPG நம்பவில்லை. GitHub இல் ஒரு இடுகையில், டெவலப்பர்கள் SKS Keyserver உடன் பணிபுரிய பரிந்துரைக்கவில்லை என்று கூட எழுதினர். உண்மையில், அவர்கள் புதிய சேவை keys.openpgp.org க்கு மாறுவதற்கு இது முக்கிய காரணங்களில் ஒன்றாகும். நிகழ்வுகளின் மேலும் வளர்ச்சியை மட்டுமே நாம் பார்க்க முடியும்.

எங்கள் நிறுவன வலைப்பதிவில் இருந்து சில பொருட்கள்:

• ரூட்டர்கள் மூலம் பாட்நெட் "ஸ்பேம்கள்": நீங்கள் தெரிந்து கொள்ள வேண்டியது
• DDoS மற்றும் 5G: தடிமனான "குழாய்" என்பது அதிக சிக்கல்களைக் குறிக்கிறது
• ஃபயர்வால் அல்லது டிபிஐ - பல்வேறு நோக்கங்களுக்காக பாதுகாப்பு கருவிகள்
• கிராமத்திற்கு இணையம் - ரேடியோ ரிலே வைஃபை நெட்வொர்க்கை உருவாக்குதல்

ஆதாரம்: www.habr.com