ہیکرز نے OpenPGP پروٹوکول کی ایک خصوصیت کا استحصال کیا جو ایک دہائی سے زیادہ عرصے سے مشہور ہے۔
ہم وضاحت کریں گے کہ مسئلہ کیا ہے اور اسے کیوں بند نہیں کیا جا سکتا۔
/انسپلاش/
نیٹ ورک کے مسائل
جون کے وسط میں نامعلوم افراد کرپٹوگرافک کلیدی سرورز کے نیٹ ورک پر , OpenPGP پروٹوکول پر بنایا گیا ہے۔ یہ ایک IETF معیار ہے ()، جو ای میل اور دیگر مواصلات کو خفیہ کرنے کے لیے استعمال ہوتا ہے۔ SKS نیٹ ورک تیس سال قبل عوامی سرٹیفکیٹس کی تقسیم کے لیے بنایا گیا تھا۔ اوزار جیسے ڈیٹا انکرپشن اور الیکٹرانک ڈیجیٹل دستخطوں کی تخلیق کے لیے۔
ہیکرز نے دو GnuPG پروجیکٹ مینٹینرز، رابرٹ ہینسن اور ڈینیئل گلمور کے سرٹیفکیٹس سے سمجھوتہ کیا ہے۔ سرور سے خراب شدہ سرٹیفکیٹ لوڈ کرنے سے GnuPG کریش ہو جاتا ہے، جس سے سسٹم منجمد ہو جاتا ہے۔ یہ یقین کرنے کی وجہ ہے کہ حملہ آور اپنے حملے جاری رکھیں گے، اور سمجھوتہ کرنے والے سرٹیفکیٹس کی تعداد میں اضافہ ہی ہوگا۔ اس وقت مسئلہ کی حد نامعلوم ہے۔
حملے کا جوہر
ہیکرز نے OpenPGP پروٹوکول میں کمزوری کا فائدہ اٹھایا۔ یہ کمیونٹی کو دہائیوں سے جانا جاتا ہے، یہاں تک کہ GitHub پر بھی۔ متعلقہ کارناموں. لیکن ابھی تک، کسی نے سوراخ کو بند کرنے کی ذمہ داری قبول نہیں کی ہے (ہم بعد میں مزید تفصیل سے وجوہات پر بات کریں گے)۔
ہبر پر ہمارے بلاگ سے چند انتخاب:
OpenPGP تفصیلات کے مطابق، کوئی بھی اپنی ملکیت کی تصدیق کے لیے سرٹیفکیٹس میں ڈیجیٹل دستخط شامل کر سکتا ہے۔ مزید یہ کہ دستخطوں کی زیادہ سے زیادہ تعداد کو منظم نہیں کیا جاتا ہے۔ اس سے ایک مسئلہ پیدا ہوتا ہے: SKS نیٹ ورک ہر سرٹیفکیٹ پر 150 دستخطوں کی اجازت دیتا ہے، لیکن GnuPG اس نمبر کی حمایت نہیں کرتا ہے۔ لہذا، سرٹیفکیٹ لوڈ کرتے وقت GnuPG (نیز دیگر OpenPGP نفاذ) منجمد ہوجاتا ہے۔
صارفین میں سے ایک - سرٹیفکیٹ درآمد کرنے میں اسے تقریباً 10 منٹ لگے۔ سرٹیفکیٹ پر 54 سے زیادہ دستخط تھے اور اس کا وزن 17 MB تھا:
$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <dkg@fifthhorseman.net>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1
$ ls -lh pubring.gpg
-rw-r--r-- 1 filippo staff 17M 2 Jul 16:30 pubring.gpg
صورتحال اس حقیقت سے مزید خراب ہو گئی ہے کہ OpenPGP کلیدی سرور سرٹیفکیٹ کی معلومات کو حذف نہیں کرتے ہیں۔ یہ تمام سرٹیفکیٹ لین دین کے سلسلے کو ٹریس کرنے اور سرٹیفکیٹ کے متبادل کو روکنے کے لیے کیا جاتا ہے۔ لہذا، سمجھوتہ کرنے والے عناصر کو حذف کرنا ناممکن ہے۔
بنیادی طور پر، SKS نیٹ ورک ایک بڑا "فائل سرور" ہے جس پر کوئی بھی ڈیٹا لکھ سکتا ہے۔ مسئلہ کو واضح کرنے کے لیے، پچھلے سال ایک GitHub کا رہائشی ، جو خفیہ نگاری کے کلیدی سرورز کے نیٹ ورک پر دستاویزات کو ذخیرہ کرتا ہے۔
کمزوری کا پیچھا کیوں نہیں کیا گیا؟
کمزوری کو پیچ کرنے کی کوئی وجہ نہیں تھی۔ اسے پہلے ہیکر حملوں کے لیے استعمال نہیں کیا گیا تھا۔ اگرچہ آئی ٹی کمیونٹی SKS اور OpenPGP ڈویلپرز کو اس مسئلے پر توجہ دینی چاہیے۔
منصفانہ ہونے کے لئے، یہ جون میں وہ اب بھی غور کرنا چاہئے تجرباتی کلیدی سرور یہ اس قسم کے حملوں کے خلاف تحفظ کا نفاذ کرتا ہے۔ تاہم، اس کا ڈیٹا بیس شروع سے ہی آباد ہے، اور سرور خود SKS کا حصہ نہیں ہے۔ اس لیے اسے استعمال کرنے میں وقت لگے گا۔

/انسپلاش/
جہاں تک اصل سسٹم میں بگ کا تعلق ہے، اس کا پیچیدہ ہم آہنگی کا طریقہ کار اسے ٹھیک ہونے سے روکتا ہے۔ کیسرور نیٹ ورک اصل میں یارون منسکی کے ڈاکٹریٹ مقالہ کے تصور کے ثبوت کے طور پر لکھا گیا تھا۔ مزید یہ کہ کام کے لیے جو مخصوص زبان منتخب کی گئی تھی وہ OCaml تھی۔ دیکھ بھال کرنے والے رابرٹ ہینسن کے مطابق، کوڈ کو سمجھنا مشکل ہے، اس لیے صرف معمولی اصلاحات کی جا رہی ہیں۔ SKS فن تعمیر میں ترمیم کرنے کے لیے اسے شروع سے دوبارہ لکھنے کی ضرورت ہوگی۔
کسی بھی صورت میں، GnuPG کو یقین نہیں ہے کہ نیٹ ورک کبھی ٹھیک ہو جائے گا۔ ایک GitHub پوسٹ میں، ڈویلپرز نے یہاں تک لکھا کہ وہ SKS Keyserver استعمال کرنے کی سفارش نہیں کرتے ہیں۔ درحقیقت، یہ ان اہم وجوہات میں سے ایک ہے جو انہوں نے نئی سروس keys.openpgp.org پر منتقلی کا آغاز کیا۔ ہم صرف انتظار کر سکتے ہیں اور دیکھ سکتے ہیں کہ چیزیں کیسے سامنے آتی ہیں۔
ہمارے کارپوریٹ بلاگ سے کچھ مواد:
ماخذ: www.habr.com
