Awọn olosa lo ẹya kan ti Ilana OpenPGP ti a ti mọ fun diẹ sii ju ọdun mẹwa lọ.
A sọ fun ọ kini aaye naa ati idi ti wọn ko le pa a.
/ Unsplash/
Awọn iṣoro nẹtiwọki
Ni aarin-Okudu, aimọ si nẹtiwọki ti awọn olupin bọtini cryptographic , ti a ṣe lori Ilana OpenPGP. Eyi jẹ boṣewa IETF (), eyiti o jẹ lilo lati encrypt imeeli ati awọn ifiranṣẹ miiran. Nẹtiwọọki SKS ni a ṣẹda ni ọgbọn ọdun sẹyin lati pin kaakiri awọn iwe-ẹri gbogbo eniyan. O pẹlu awọn irinṣẹ bii fun fifi ẹnọ kọ nkan data ati ṣiṣẹda awọn ibuwọlu oni nọmba itanna.
Awọn olosa gbogun awọn iwe-ẹri ti awọn olutọju iṣẹ akanṣe GnuPG meji, Robert Hansen ati Daniel Gillmor. Ikojọpọ ijẹrisi ti o bajẹ lati ọdọ olupin naa fa ki GnuPG kuna — eto naa di didi. O wa idi lati gbagbọ pe awọn ikọlu kii yoo da duro nibẹ, ati pe nọmba awọn iwe-ẹri ti o gbogun yoo pọ si nikan. Ni akoko yii, iwọn iṣoro naa jẹ aimọ.
Awọn lodi ti awọn kolu
Awọn olosa lo anfani ailagbara kan ninu ilana OpenPGP. O ti mọ si agbegbe fun awọn ọdun mẹwa. Paapaa lori GitHub ti o baamu exploits. Ṣugbọn titi di isisiyi ko si ẹnikan ti o gba ojuse fun pipade “iho” (a yoo sọrọ nipa awọn idi ni alaye diẹ sii nigbamii).
Awọn yiyan meji lati bulọọgi wa lori Habré:
Gẹgẹbi sipesifikesonu OpenPGP, ẹnikẹni le ṣafikun awọn ibuwọlu oni nọmba si awọn iwe-ẹri lati jẹrisi oniwun wọn. Pẹlupẹlu, nọmba ti o pọju ti awọn ibuwọlu ko ni ilana ni eyikeyi ọna. Ati nihin iṣoro kan dide - nẹtiwọọki SKS gba ọ laaye lati gbe to awọn ibuwọlu 150 ẹgbẹrun lori ijẹrisi kan, ṣugbọn GnuPG ko ṣe atilẹyin iru nọmba kan. Nitorinaa, nigba ikojọpọ ijẹrisi naa, GnuPG (bakannaa awọn imuṣẹ OpenPGP miiran) di.
Ọkan ninu awọn olumulo - gbigbe wọle iwe-ẹri gba to iṣẹju mẹwa 10. Iwe-ẹri naa ni diẹ sii ju awọn ibuwọlu 54, ati iwuwo rẹ jẹ 17 MB:
$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1
$ ls -lh pubring.gpg
-rw-r--r-- 1 filippo staff 17M 2 Jul 16:30 pubring.gpg
Lati jẹ ki ọrọ buru si, awọn olupin bọtini OpenPGP ko yọ alaye ijẹrisi kuro. Eyi ni a ṣe ki o le wa kakiri pq ti gbogbo awọn iṣe pẹlu awọn iwe-ẹri ati ṣe idiwọ iyipada wọn. Nitorinaa, ko ṣee ṣe lati yọkuro awọn eroja ti o gbogun.
Ni pataki, nẹtiwọọki SKS jẹ “olupin faili” nla si eyiti ẹnikẹni le kọ data. Lati ṣapejuwe iṣoro naa, olugbe GitHub ni ọdun to kọja , eyiti o tọju awọn iwe aṣẹ lori nẹtiwọki ti awọn olupin bọtini cryptographic.
Kilode ti ailagbara naa ko tii pa?
Ko si idi lati pa ailagbara naa. Ni iṣaaju, a ko lo fun awọn ikọlu agbonaeburuwole. Botilẹjẹpe agbegbe IT SKS ati OpenPGP Difelopa yẹ ki o san ifojusi si iṣoro naa.
Lati ṣe otitọ, o tọ lati ṣe akiyesi pe ni Oṣu Karun wọn ṣi olupin bọtini esiperimenta . O pese aabo lodi si iru awọn ikọlu wọnyi. Bibẹẹkọ, ibi ipamọ data rẹ ti kun lati ibere, ati olupin funrararẹ kii ṣe apakan ti SKS. Nitorina, yoo gba akoko ṣaaju ki o to ṣee lo.
/ Unsplash/
Bi fun kokoro ti o wa ninu eto atilẹba, ẹrọ amuṣiṣẹpọ eka kan ṣe idiwọ rẹ lati wa titi. Nẹtiwọọki olupin bọtini ni akọkọ ti kọ bi ẹri ti imọran fun iwe-ẹkọ oye dokita Yaron Minsky. Pẹlupẹlu, ede kan pato, OCaml, ni a yan fun iṣẹ naa. Nipasẹ Olutọju Robert Hansen, koodu naa nira lati ni oye, nitorinaa awọn atunṣe kekere ni a ṣe si rẹ. Lati yipada faaji SKS, yoo ni lati tun kọ lati ibere.
Ni eyikeyi idiyele, GnuPG ko gbagbọ pe nẹtiwọọki yoo wa titi lailai. Ninu ifiweranṣẹ lori GitHub, awọn olupilẹṣẹ paapaa kowe pe wọn ko ṣeduro ṣiṣẹ pẹlu SKS Keyserver. Lootọ, eyi jẹ ọkan ninu awọn idi akọkọ ti wọn fi bẹrẹ iyipada si awọn bọtini iṣẹ tuntun.openpgp.org. A le nikan wo awọn siwaju idagbasoke ti awọn iṣẹlẹ.
Awọn ohun elo meji lati bulọọgi ile-iṣẹ wa:
orisun: www.habr.com