استخدم المتسللون ميزة بروتوكول OpenPGP ، والتي كانت معروفة لأكثر من عشر سنوات.
نخبرك ما هو الجوهر ولماذا لا يمكنهم إغلاقه.
/ Unsplash / Chunlea Juمشاكل الشبكة
في منتصف يونيو ،
هاجم مجهولون شبكة من
خوادم مفتاح التشفير
SKS Keyserver ، التي بنيت على أساس بروتوكول OpenPGP. هذا هو معيار IETF (
RFC 4880 ) ، والذي يُستخدم لتشفير البريد الإلكتروني والرسائل الأخرى. تم إنشاء شبكة SKS منذ ثلاثين عامًا لتوزيع الشهادات العامة. أدوات مثل
GnuPG لتشفير البيانات وإنشاء توقيعات رقمية إلكترونية متصلة بها.
قام المتسللون بخرق شهادات اثنين من مشرفي مشروع GnuPG - Robert Hansen و Daniel Gillmor. يؤدي تنزيل شهادة تالفة من الخادم إلى تعطل GnuPG - يتجمد النظام فقط. هناك سبب للاعتقاد بأن المهاجمين لن يتوقفوا عند هذا الحد ، وسيزداد عدد الشهادات التي تم اختراقها فقط. حاليا ، لا يزال حجم المشكلة غير معروف.
جوهر الهجوم
استغلال المتسللين ثغرة أمنية في بروتوكول OpenPGP. لقد كان معروفًا للمجتمع منذ عقود. حتى على GitHub ،
يمكنك العثور على عمليات الاستغلال المناسبة. لكن حتى الآن لم يعلن أحد مسؤوليته عن إغلاق "الحفرة" (سنتحدث أكثر عن الأسباب أدناه).
تحديدان من مدونتنا على Habré:
وفقًا لمواصفات OpenPGP ، يمكن لأي شخص إضافة التوقيعات الرقمية إلى الشهادات لتأكيد ملكيتها. علاوة على ذلك ، لا يتم تنظيم الحد الأقصى لعدد التوقيعات بأي شكل من الأشكال. وهنا تبرز مشكلة - تسمح لك شبكة SKS بوضع ما يصل إلى 150 ألف توقيع لشهادة واحدة ، لكن GnuPG لا يدعم هذا الرقم. وبالتالي ، عند تحميل الشهادة ، يتم تعليق GnuPG (مثل ، بالمناسبة ، تطبيقات OpenPGP الأخرى).
أجرى أحد المستخدمين
تجربة - استغرق استيراد شهادة منه حوالي 10 دقائق. كان للشهادة أكثر من 54 ألف توقيع ، وكان وزنها 17 ميجا بايت:
$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6 gpg: key F20691179038E5C6: 4 duplicate signatures removed gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys gpg: key F20691179038E5C6: 4 signatures reordered gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <dkg@fifthhorseman.net>" imported gpg: no ultimately trusted keys found gpg: Total number processed: 1 gpg: imported: 1 $ ls -lh pubring.gpg -rw-r--r-- 1 filippo staff 17M 2 Jul 16:30 pubring.gpg
يتفاقم الموقف بسبب حقيقة أن الخوادم الرئيسية المزودة ب OpenPGP لا تحذف معلومات الشهادة. يتم ذلك بحيث يمكنك تتبع سلسلة جميع الإجراءات مع الشهادات ومنع استبدالها. لذلك ، فإنه من المستحيل القضاء على العناصر للخطر.
في الواقع ، فإن شبكة SKS هي "خادم ملفات" كبير يمكن لأي شخص أن يكتب البيانات عليه. لتوضيح المشكلة ، قام أحد سكان GitHub في العام الماضي
بإنشاء نظام ملفات يخزن المستندات على شبكة من خوادم مفاتيح التشفير.
لماذا لم يتم إغلاق الضعف
لم يكن هناك سبب لإغلاق الضعف. سابقا ، لم يكن يستخدم لشن هجمات القراصنة. على الرغم من أن مجتمع تكنولوجيا المعلومات
قد طلب منذ فترة طويلة من مطوري SKS و OpenPGP الانتباه إلى المشكلة.
في الإنصاف ، تجدر الإشارة إلى أنه في يونيو مازالوا
يطلقون على خادم المفاتيح
keys.openpgp.org التجريبي. انها تنفذ الحماية ضد هذه الأنواع من الهجمات. ومع ذلك ، يتم ملء قاعدة البيانات الخاصة به من نقطة الصفر ، والخادم نفسه ليس جزءًا من SKS. لذلك ، سيمر الوقت قبل استخدامه.
/ Unsplash / Rubén Bagüésبالنسبة إلى الخلل في النظام الأصلي ، فإن آلية المزامنة المعقدة تمنع تثبيته. تمت كتابة شبكة الخادم الرئيسية في الأصل كدليل على المفهوم للدفاع عن أطروحة الدكتوراه من قبل يارون مينسكي. علاوة على ذلك ، تم اختيار لغة OCaml محددة إلى حد ما للعمل. وفقًا لما ذكره المشرف روبرت هانسن ، فإن فهم الكود أمر صعب ، لذلك يتم إجراء تصحيحات بسيطة عليه. لتعديل بنية SKS ، سيكون عليك إعادة كتابتها من البداية.
في أي حال ، لا يعتقد GnuPG أنه سيتم إصلاح الشبكة على الإطلاق. في منشور على GitHub ، كتب المطورون أنهم لم يوصوا بالعمل مع SKS Keyserver. في الواقع ، هذا هو أحد الأسباب الرئيسية لبدء الانتقال إلى خدمة keys.openpgp.org الجديدة. يمكننا فقط مشاهدة مزيد من التطوير للأحداث.
بعض المواد من مدونة الشركة: