Подрыв основ: неизвестные ломают и модифицируют сертификаты OpenPGP

Опубликовано at 14:20
119 0

На GitHub появилось сообщение, что неизвестные атаковали цифровые сертификаты OpenPGP двух ключевых участников сообщества, Роберта Дж. Хансена (Robert J. Hansen) и Дэниела Кахна Гиллмора (Daniel Kahn Gillmor), известных сообществу как «rjh» и «dkg».

В результате модифицированные сертификаты попали в сеть сервера ключей шифрования. Модифицированы они, естественно, не в лучшую сторону: при попытке загрузить такой сертификат установки OpenPGP выходят из строя.

Как заявил Хансен, нет причин считать, что злоумышленники остановятся на двух сертификатах. «Учитывая простоту и разрекламированный успех атаки, можно предположить, что вскоре будут модифицированы и другие сертификаты», – отметил разработчик.

Прикладная криптосистема PGP (Pretty Good Privacy, Довольно хорошая секретность) была разработана и опубликована в интернете в 1991 году программистом и математиком Массачусетского Политеха Филиппом Циммерманом, по сути, оказавшись первым продуктом подобного уровня, представленным для свободного доступа всему миру. OpenPGP — это стандарт, выросший из программы PGP, получившей в Интернете к середине 90-х повсеместное распространение как надёжное средство шифрования электронной почты. Став стандартом де-факто, PGP начал встраиваться во множество приложений и систем.

Хансен, утверждает, что в настоящее время ни сеть сервера ключей шифрования, ни OpenPGP Working Group не смогут противостоять атакам до выхода исправления для уязвимости в протоколе OpenPGP, которое, вероятно, будет включено в будущие релизы.

ПО сервера ключей шифрования и сеть были созданы три десятка лет назад для обнаружения и распространения публичных сертификатов. Как оказалось, серверы ключей подвержены серьезной уязвимости – они не удаляют информацию о сертификатах. То есть, технически, сеть сервера ключей представляет собой огромный файловый сервер, записывать данные на который может любой желающий.

Хотя о данной проблеме известно уже не один десяток лет, но из-за технических сложностей ее до сих пор не решили. К примеру, серверное ПО SKS (Synchronizing Key Server) было написано на языке OCaml только в качестве PoC и по-прежнему остается недоработанным. Несмотря на то, что публичные сертификаты подтверждают свою принадлежность конкретному лицу, спецификация OpenPGP не ограничивает число подписей, которые могут быть прикреплены к сертификату, развязывая руки злоумышленникам.

«Сеть сервера ключей способна обрабатывать сертификаты с 150 тыс. подписей. С другой стороны, GnuPG этого не может. При каждом столкновении GnuPG с подобным сертификатом программа будет прекращать работу», – отметил Хансен.

Читайте также на АКБ другие актуальные материалы про интернет в глобальном разрезе:

Тысячи разработчиков намеренно отключают проверку SSL-сертификатов – и подвергают вас риску

Ученые экспериментировали с BGP и сломали интернет на двух континентах

Solid: Создатель интернета хочет увести молодое поколение юзеров из Египта корпораций-похитителей личных данных

Подписываемся, следим @CyberAgency

Related Post

The Lazarus Group действует в духе современного каперства

Опубликовано - 19.12.2017 0
Печально известная северокорейская хакерская группа The Lazarus проводит очередную кампанию, нацеленную на руководителей криптовалютных организаций. Широкую известность группа приобрела благодаря…

Биткоины стоимостью €100 000 украдены через общественную беспроводную сеть

Опубликовано - 23.11.2017 0
Австрийская полиция заявила, что киберпреступники перевели биткоины стоимостью более 100 000 евро из учетной записи пользователя, когда тот зашёл в…

Чего не хватает КБ в России? Всего – денег, специалистов, плана развития

Опубликовано - 28.01.2019 0
Специалисты аналитического центра Anti-Malware по итогам исследования отечественного рынка информационной безопасности пришли к выводу, что он находится в неутешительном состоянии.…