تجزیہ کے بعد: کرپٹو کلیدی سرورز کے SKS Keyserver نیٹ ورک پر تازہ ترین حملے کے بارے میں کیا معلوم ہے

ہیکرز نے OpenPGP پروٹوکول کی ایک خصوصیت کا استحصال کیا جو ایک دہائی سے زیادہ عرصے سے مشہور ہے۔

ہم وضاحت کریں گے کہ مسئلہ کیا ہے اور اسے کیوں بند نہیں کیا جا سکتا۔

تجزیہ کے بعد: کرپٹو کلیدی سرورز کے SKS Keyserver نیٹ ورک پر تازہ ترین حملے کے بارے میں کیا معلوم ہے
/انسپلاش/ چونلیا جو

نیٹ ورک کے مسائل

جون کے وسط میں نامعلوم افراد حملہ کیا کرپٹوگرافک کلیدی سرورز کے نیٹ ورک پر ایس کے ایس کیسرور, OpenPGP پروٹوکول پر بنایا گیا ہے۔ یہ ایک IETF معیار ہے (آر ایف سی 4880)، جو ای میل اور دیگر مواصلات کو خفیہ کرنے کے لیے استعمال ہوتا ہے۔ SKS نیٹ ورک تیس سال قبل عوامی سرٹیفکیٹس کی تقسیم کے لیے بنایا گیا تھا۔ اوزار جیسے GnuPG ڈیٹا انکرپشن اور الیکٹرانک ڈیجیٹل دستخطوں کی تخلیق کے لیے۔

ہیکرز نے دو GnuPG پروجیکٹ مینٹینرز، رابرٹ ہینسن اور ڈینیئل گلمور کے سرٹیفکیٹس سے سمجھوتہ کیا ہے۔ سرور سے خراب شدہ سرٹیفکیٹ لوڈ کرنے سے GnuPG کریش ہو جاتا ہے، جس سے سسٹم منجمد ہو جاتا ہے۔ یہ یقین کرنے کی وجہ ہے کہ حملہ آور اپنے حملے جاری رکھیں گے، اور سمجھوتہ کرنے والے سرٹیفکیٹس کی تعداد میں اضافہ ہی ہوگا۔ اس وقت مسئلہ کی حد نامعلوم ہے۔

حملے کا جوہر

ہیکرز نے OpenPGP پروٹوکول میں کمزوری کا فائدہ اٹھایا۔ یہ کمیونٹی کو دہائیوں سے جانا جاتا ہے، یہاں تک کہ GitHub پر بھی۔ ڈھونڈ سکتا ہے متعلقہ کارناموں. لیکن ابھی تک، کسی نے سوراخ کو بند کرنے کی ذمہ داری قبول نہیں کی ہے (ہم بعد میں مزید تفصیل سے وجوہات پر بات کریں گے)۔

ہبر پر ہمارے بلاگ سے چند انتخاب:

OpenPGP تفصیلات کے مطابق، کوئی بھی اپنی ملکیت کی تصدیق کے لیے سرٹیفکیٹس میں ڈیجیٹل دستخط شامل کر سکتا ہے۔ مزید یہ کہ دستخطوں کی زیادہ سے زیادہ تعداد کو منظم نہیں کیا جاتا ہے۔ اس سے ایک مسئلہ پیدا ہوتا ہے: SKS نیٹ ورک ہر سرٹیفکیٹ پر 150 دستخطوں کی اجازت دیتا ہے، لیکن GnuPG اس نمبر کی حمایت نہیں کرتا ہے۔ لہذا، سرٹیفکیٹ لوڈ کرتے وقت GnuPG (نیز دیگر OpenPGP نفاذ) منجمد ہوجاتا ہے۔

صارفین میں سے ایک ایک تجربہ کیا - سرٹیفکیٹ درآمد کرنے میں اسے تقریباً 10 منٹ لگے۔ سرٹیفکیٹ پر 54 سے زیادہ دستخط تھے اور اس کا وزن 17 MB تھا:

$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <dkg@fifthhorseman.net>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg:               imported: 1
$ ls -lh pubring.gpg
-rw-r--r--  1 filippo  staff    17M  2 Jul 16:30 pubring.gpg

صورتحال اس حقیقت سے مزید خراب ہو گئی ہے کہ OpenPGP کلیدی سرور سرٹیفکیٹ کی معلومات کو حذف نہیں کرتے ہیں۔ یہ تمام سرٹیفکیٹ لین دین کے سلسلے کو ٹریس کرنے اور سرٹیفکیٹ کے متبادل کو روکنے کے لیے کیا جاتا ہے۔ لہذا، سمجھوتہ کرنے والے عناصر کو حذف کرنا ناممکن ہے۔

بنیادی طور پر، SKS نیٹ ورک ایک بڑا "فائل سرور" ہے جس پر کوئی بھی ڈیٹا لکھ سکتا ہے۔ مسئلہ کو واضح کرنے کے لیے، پچھلے سال ایک GitHub کا رہائشی ایک فائل سسٹم بنایا، جو خفیہ نگاری کے کلیدی سرورز کے نیٹ ورک پر دستاویزات کو ذخیرہ کرتا ہے۔

کمزوری کا پیچھا کیوں نہیں کیا گیا؟

کمزوری کو پیچ کرنے کی کوئی وجہ نہیں تھی۔ اسے پہلے ہیکر حملوں کے لیے استعمال نہیں کیا گیا تھا۔ اگرچہ آئی ٹی کمیونٹی میں ایک عرصے سے یہ پوچھ رہا ہوں۔ SKS اور OpenPGP ڈویلپرز کو اس مسئلے پر توجہ دینی چاہیے۔

منصفانہ ہونے کے لئے، یہ جون میں وہ اب بھی غور کرنا چاہئے شروع کیا تجرباتی کلیدی سرور keys.openpgp.orgیہ اس قسم کے حملوں کے خلاف تحفظ کا نفاذ کرتا ہے۔ تاہم، اس کا ڈیٹا بیس شروع سے ہی آباد ہے، اور سرور خود SKS کا حصہ نہیں ہے۔ اس لیے اسے استعمال کرنے میں وقت لگے گا۔

تجزیہ کے بعد: کرپٹو کلیدی سرورز کے SKS Keyserver نیٹ ورک پر تازہ ترین حملے کے بارے میں کیا معلوم ہے
/انسپلاش/ روبین باگیس

جہاں تک اصل سسٹم میں بگ کا تعلق ہے، اس کا پیچیدہ ہم آہنگی کا طریقہ کار اسے ٹھیک ہونے سے روکتا ہے۔ کیسرور نیٹ ورک اصل میں یارون منسکی کے ڈاکٹریٹ مقالہ کے تصور کے ثبوت کے طور پر لکھا گیا تھا۔ مزید یہ کہ کام کے لیے جو مخصوص زبان منتخب کی گئی تھی وہ OCaml تھی۔ کے مطابق دیکھ بھال کرنے والے رابرٹ ہینسن کے مطابق، کوڈ کو سمجھنا مشکل ہے، اس لیے صرف معمولی اصلاحات کی جا رہی ہیں۔ SKS فن تعمیر میں ترمیم کرنے کے لیے اسے شروع سے دوبارہ لکھنے کی ضرورت ہوگی۔

کسی بھی صورت میں، GnuPG کو یقین نہیں ہے کہ نیٹ ورک کبھی ٹھیک ہو جائے گا۔ ایک GitHub پوسٹ میں، ڈویلپرز نے یہاں تک لکھا کہ وہ SKS Keyserver استعمال کرنے کی سفارش نہیں کرتے ہیں۔ درحقیقت، یہ ان اہم وجوہات میں سے ایک ہے جو انہوں نے نئی سروس keys.openpgp.org پر منتقلی کا آغاز کیا۔ ہم صرف انتظار کر سکتے ہیں اور دیکھ سکتے ہیں کہ چیزیں کیسے سامنے آتی ہیں۔

ہمارے کارپوریٹ بلاگ سے کچھ مواد:

ماخذ: www.habr.com

DDoS تحفظ، VPS VDS سرورز والی سائٹوں کے لیے قابل اعتماد ہوسٹنگ خریدیں۔ DDoS تحفظ، VPS VDS سرورز کے ساتھ قابل اعتماد ویب سائٹ ہوسٹنگ خریدیں۔ ProHoster