ہیکرز نے اوپن پی جی پی پروٹوکول کی ایک خصوصیت استعمال کی جو دس سال سے زیادہ عرصے سے مشہور ہے۔
ہم آپ کو بتاتے ہیں کہ نقطہ کیا ہے اور وہ اسے کیوں بند نہیں کر سکتے۔
/انسپلاش/
نیٹ ورک کے مسائل
جون کے وسط میں، نامعلوم کرپٹوگرافک کلیدی سرورز کے نیٹ ورک پر اوپن پی جی پی پروٹوکول پر بنایا گیا ہے۔ یہ ایک IETF معیار ہے ()، جو ای میل اور دیگر پیغامات کو خفیہ کرنے کے لیے استعمال ہوتا ہے۔ SKS نیٹ ورک تیس سال قبل عوامی سرٹیفکیٹس کی تقسیم کے لیے بنایا گیا تھا۔ اس میں ایسے اوزار شامل ہیں۔ ڈیٹا کو خفیہ کرنے اور الیکٹرانک ڈیجیٹل دستخط بنانے کے لیے۔
ہیکرز نے دو GnuPG پروجیکٹ مینٹینرز، رابرٹ ہینسن اور ڈینیئل گلمور کے سرٹیفکیٹس سے سمجھوتہ کیا۔ سرور سے کرپٹ سرٹیفکیٹ لوڈ کرنے سے GnuPG فیل ہو جاتا ہے — سسٹم صرف منجمد ہو جاتا ہے۔ یہ یقین کرنے کی وجہ ہے کہ حملہ آور وہیں نہیں رکیں گے، اور سمجھوتہ کرنے والے سرٹیفکیٹس کی تعداد میں اضافہ ہی ہوگا۔ اس وقت، مسئلہ کی حد نامعلوم رہتا ہے.
حملے کا جوہر
ہیکرز نے OpenPGP پروٹوکول میں کمزوری کا فائدہ اٹھایا۔ وہ کئی دہائیوں سے کمیونٹی میں جانی جاتی ہے۔ یہاں تک کہ GitHub پر متعلقہ کارناموں. لیکن ابھی تک کسی نے "سوراخ" کو بند کرنے کی ذمہ داری قبول نہیں کی ہے (اس کی وجوہات پر ہم بعد میں مزید تفصیل سے بات کریں گے)۔
Habré پر ہمارے بلاگ سے چند انتخاب:
OpenPGP تفصیلات کے مطابق، کوئی بھی اپنے مالک کی تصدیق کے لیے سرٹیفکیٹس میں ڈیجیٹل دستخط شامل کر سکتا ہے۔ مزید یہ کہ دستخطوں کی زیادہ سے زیادہ تعداد کو کسی بھی طرح سے منظم نہیں کیا جاتا ہے۔ اور یہاں ایک مسئلہ پیدا ہوتا ہے - SKS نیٹ ورک آپ کو ایک سرٹیفکیٹ پر 150 ہزار دستخط کرنے کی اجازت دیتا ہے، لیکن GnuPG ایسے نمبر کو سپورٹ نہیں کرتا ہے۔ اس طرح، سرٹیفکیٹ لوڈ کرتے وقت، GnuPG (نیز دیگر OpenPGP نفاذ) منجمد ہو جاتا ہے۔
صارفین میں سے ایک - سرٹیفکیٹ درآمد کرنے میں اسے تقریباً 10 منٹ لگے۔ سرٹیفکیٹ پر 54 ہزار سے زیادہ دستخط تھے، اور اس کا وزن 17 ایم بی تھا:
$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1
$ ls -lh pubring.gpg
-rw-r--r-- 1 filippo staff 17M 2 Jul 16:30 pubring.gpg
معاملات کو مزید خراب کرنے کے لیے، OpenPGP کلیدی سرور سرٹیفکیٹ کی معلومات کو نہیں ہٹاتے ہیں۔ ایسا اس لیے کیا جاتا ہے تاکہ آپ سرٹیفکیٹس کے ساتھ تمام اعمال کی زنجیر کو ٹریس کر سکیں اور ان کے متبادل کو روک سکیں۔ اس لیے سمجھوتہ کرنے والے عناصر کا خاتمہ ناممکن ہے۔
بنیادی طور پر، SKS نیٹ ورک ایک بڑا "فائل سرور" ہے جس پر کوئی بھی ڈیٹا لکھ سکتا ہے۔ مسئلہ کی وضاحت کرنے کے لئے، گزشتہ سال GitHub کے رہائشی ، جو خفیہ نگاری کے کلیدی سرورز کے نیٹ ورک پر دستاویزات کو ذخیرہ کرتا ہے۔
کمزوری بند کیوں نہیں ہوئی؟
خطرے کو بند کرنے کی کوئی وجہ نہیں تھی۔ اس سے پہلے اسے ہیکرز کے حملوں کے لیے استعمال نہیں کیا جاتا تھا۔ اگرچہ آئی ٹی کمیونٹی SKS اور OpenPGP ڈویلپرز کو اس مسئلے پر توجہ دینی چاہیے۔
منصفانہ ہونا، یہ جون میں وہ اب بھی نوٹنگ کے قابل ہے تجرباتی کلیدی سرور . یہ اس قسم کے حملوں سے تحفظ فراہم کرتا ہے۔ تاہم، اس کا ڈیٹا بیس شروع سے ہی آباد ہے، اور سرور خود SKS کا حصہ نہیں ہے۔ اس لیے اسے استعمال کرنے میں وقت لگے گا۔
/انسپلاش/
جہاں تک اصل سسٹم میں بگ کا تعلق ہے، ایک پیچیدہ ہم آہنگی کا طریقہ کار اسے ٹھیک ہونے سے روکتا ہے۔ کلیدی سرور نیٹ ورک اصل میں یارون منسکی کے پی ایچ ڈی تھیسس کے تصور کے ثبوت کے طور پر لکھا گیا تھا۔ مزید یہ کہ کام کے لیے ایک مخصوص زبان، OCaml کا انتخاب کیا گیا تھا۔ کی طرف سے دیکھ بھال کرنے والے رابرٹ ہینسن کے مطابق، کوڈ کو سمجھنا مشکل ہے، اس لیے اس میں صرف معمولی اصلاحات کی جاتی ہیں۔ SKS فن تعمیر میں ترمیم کرنے کے لیے، اسے شروع سے دوبارہ لکھنا پڑے گا۔
کسی بھی صورت میں، GnuPG کو یقین نہیں ہے کہ نیٹ ورک کبھی ٹھیک ہو جائے گا۔ GitHub پر ایک پوسٹ میں، ڈویلپرز نے یہاں تک لکھا کہ وہ SKS Keyserver کے ساتھ کام کرنے کی سفارش نہیں کرتے ہیں۔ دراصل، یہ ان اہم وجوہات میں سے ایک ہے جس کی وجہ سے انہوں نے نئی سروس keys.openpgp.org پر منتقلی کا آغاز کیا۔ ہم صرف واقعات کی مزید ترقی دیکھ سکتے ہیں۔
ہمارے کارپوریٹ بلاگ سے کچھ مواد:
ماخذ: www.habr.com