黑客使用了 OpenPGP 协议的一项已为人所知十多年的功能。
我们会告诉您重点是什么以及为什么他们无法关闭它。
/不飞溅/
网络问题
六月中旬,未知
黑客泄露了两名 GnuPG 项目维护者 Robert Hansen 和 Daniel Gillmor 的证书。 从服务器加载损坏的证书会导致 GnuPG 失败 — 系统就会冻结。 有理由相信攻击者不会就此止步,被盗证书的数量只会增加。 目前,问题的严重程度仍然未知。
攻击的本质
黑客利用了 OpenPGP 协议中的漏洞。 几十年来,她一直为社区所熟知。 甚至在 GitHub 上
我们关于 Habré 的博客中的一些选择:
根据 OpenPGP 规范,任何人都可以在证书中添加数字签名来验证其所有者。 此外,签名的最大数量没有任何限制。 这里出现了一个问题 - SKS 网络允许您在一个证书上放置最多 150 万个签名,但 GnuPG 不支持这样的数字。 因此,加载证书时,GnuPG(以及其他 OpenPGP 实现)会冻结。
用户之一
$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1
$ ls -lh pubring.gpg
-rw-r--r-- 1 filippo staff 17M 2 Jul 16:30 pubring.gpg
更糟糕的是,OpenPGP 密钥服务器不会删除证书信息。 这样做是为了您可以跟踪所有带有证书的操作链并防止它们被替换。 因此,消除受损元素是不可能的。
本质上,SKS网络是一个大型“文件服务器”,任何人都可以向其中写入数据。 为了说明问题,去年 GitHub 常驻
为什么漏洞没有被关闭?
没有理由关闭该漏洞。 此前,它不被用于黑客攻击。 尽管 IT 界
公平地说,值得注意的是,在六月,他们仍然
/不飞溅/
至于原系统中的bug,复杂的同步机制导致其无法修复。 密钥服务器网络最初是作为 Yaron Minsky 博士论文的概念证明而编写的。 此外,这项工作还选择了一种相当具体的语言 OCaml。 经过
无论如何,GnuPG 并不相信网络会被修复。 在 GitHub 上的一篇文章中,开发人员甚至写道,他们不建议使用 SKS 密钥服务器。 实际上,这是他们开始过渡到新服务keys.openpgp.org 的主要原因之一。 我们只能静观事态的进一步发展。
我们公司博客中的一些材料:
来源: habr.com