Подрыв основ: неизвестные ломают и модифицируют сертификаты OpenPGP

Опубликовано at 14:20
50 0

На GitHub появилось сообщение, что неизвестные атаковали цифровые сертификаты OpenPGP двух ключевых участников сообщества, Роберта Дж. Хансена (Robert J. Hansen) и Дэниела Кахна Гиллмора (Daniel Kahn Gillmor), известных сообществу как «rjh» и «dkg».

В результате модифицированные сертификаты попали в сеть сервера ключей шифрования. Модифицированы они, естественно, не в лучшую сторону: при попытке загрузить такой сертификат установки OpenPGP выходят из строя.

Как заявил Хансен, нет причин считать, что злоумышленники остановятся на двух сертификатах. «Учитывая простоту и разрекламированный успех атаки, можно предположить, что вскоре будут модифицированы и другие сертификаты», – отметил разработчик.

Прикладная криптосистема PGP (Pretty Good Privacy, Довольно хорошая секретность) была разработана и опубликована в интернете в 1991 году программистом и математиком Массачусетского Политеха Филиппом Циммерманом, по сути, оказавшись первым продуктом подобного уровня, представленным для свободного доступа всему миру. OpenPGP — это стандарт, выросший из программы PGP, получившей в Интернете к середине 90-х повсеместное распространение как надёжное средство шифрования электронной почты. Став стандартом де-факто, PGP начал встраиваться во множество приложений и систем.

Хансен, утверждает, что в настоящее время ни сеть сервера ключей шифрования, ни OpenPGP Working Group не смогут противостоять атакам до выхода исправления для уязвимости в протоколе OpenPGP, которое, вероятно, будет включено в будущие релизы.

ПО сервера ключей шифрования и сеть были созданы три десятка лет назад для обнаружения и распространения публичных сертификатов. Как оказалось, серверы ключей подвержены серьезной уязвимости – они не удаляют информацию о сертификатах. То есть, технически, сеть сервера ключей представляет собой огромный файловый сервер, записывать данные на который может любой желающий.

Хотя о данной проблеме известно уже не один десяток лет, но из-за технических сложностей ее до сих пор не решили. К примеру, серверное ПО SKS (Synchronizing Key Server) было написано на языке OCaml только в качестве PoC и по-прежнему остается недоработанным. Несмотря на то, что публичные сертификаты подтверждают свою принадлежность конкретному лицу, спецификация OpenPGP не ограничивает число подписей, которые могут быть прикреплены к сертификату, развязывая руки злоумышленникам.

«Сеть сервера ключей способна обрабатывать сертификаты с 150 тыс. подписей. С другой стороны, GnuPG этого не может. При каждом столкновении GnuPG с подобным сертификатом программа будет прекращать работу», – отметил Хансен.

Читайте также на АКБ другие актуальные материалы про интернет в глобальном разрезе:

Тысячи разработчиков намеренно отключают проверку SSL-сертификатов – и подвергают вас риску

Ученые экспериментировали с BGP и сломали интернет на двух континентах

Solid: Создатель интернета хочет увести молодое поколение юзеров из Египта корпораций-похитителей личных данных

Подписываемся, следим @CyberAgency

Related Post

Британские исследователи научили бинт общаться с лечащим врачом

Опубликовано - 17.04.2017 0
В ближайшее время в Великобритании будут опробованы перевязочные материалы, которые смогут распознавать, как заживает рана и отсылать соответствующую информацию напрямую…

Умное будущее: Для Интернета вещей разработан стандарт безопасности

Опубликовано - 11.04.2018 0
Консорциум промышленного интернета (IIC) составил новые рекомендации, как обезопасить проекты в области Интернета вещей (IoT). Эта технология заложена, в частности,…