Атака была развязана против глобальной синхронизации сервер (СКС) сети, которая используется популярный стандарт OpenPGP шифрование, с разработчики сказать в настоящее время нет снижения, и проблема может усугубиться.

При добавлении большого количества неудаляемого подписи сертификатов на серверы, можно вызвать реализациями OpenPGP, чтобы перестать работать.

Нападение threatents для внедрения открытых в OpenPGP для unusuable, что будет иметь разрушительные последствия для пользователей, открытие источника.

GnuPG-это используется для проверки загруженных пакетов программного обеспечения для операционных систем семейства Linux, и злоумышленники могут попытаться отравить государственного сертификата поставщика и передать его в сети сервера ключей.

Это позволит сделать GnuPG дросселя, что делает невозможным проверить подлинность загруженных пакетов.

Роберт Хансен (rjh), который поддерживает GnuPG в Часто задаваемые вопросы список и является неофициальным кризиса коммуникатор для проекта заявил , что неизвестные злоумышленники используют дефект в OpenPG протокола для того, чтобы отравить его и громких Автор Даниэль Кан Гилмор (за ДКГ) сертификаты.

Тот, кто ввозит rjh и отравили сертификаты OpenPGP ДКГ очень вероятно, чтобы сломать их установки, сказал Хансен.

Этот изъян проистекает из дизайн принятое в начале 1990-х для того чтобы сделать сервер сетевой цензуры устойчивы, в случае репрессивные режимы, чтобы заставить операторов для замены сертификатов на серверах с выбора правительства.

По этой причине, сети СКС был разработан таким образом, что информация может быть добавлена к сертификатам, но не удаляется никогда. Сертификаты не могут быть удалены из сети СКС серверов.

Сказал Хансен сетевой сервер обрабатывает цифровые сертификаты с до около 150 000 подписей.

Открытой реализации открытых источников в OpenPGP, однако, не может обрабатывать образца с таким количеством подписей.

“В любое время GnuPG, что имеет дело с таким спамом сертификат, GnuPG не прекращаются. Он не остановится, как таковой, но она становится вклинивается так долго это для всех намерений и целей абсолютно непригоден.

Мой публичный сертификат, как найти в сети сервера ключей сейчас не составляет 150,000 подписей на нем,” сказал Хансен.,

Он предупредил, что проверка подписей может сделать GnuPG пытайтесь бороться с спамом сертификаты, даже если они не импортируются, в результате установки людей ломать.

Дела пойдут еще хуже; не фиксировать на горизонте

Хотя понятие неизменное хранение сертификата, казалось, звук на время, в 2019 году это грозит в будущем показывать это, поскольку нет никакого способа, чтобы исправить проблему, бар редизайн программного обеспечения.

В связи с принятым решением внести данные в сети сервера ключей неизменными, заспамили сертификаты не могут быть удалены из него.

Хансен ожидает несколько сертификатов, чтобы стать отравленной со временем проблемы усугубляются заминировано полномочия быть трудно обнаружить, пока кто-то пытается импортировать их.

Проблема была известна уже десять лет, но она не была исправлена за счет чего Хансен сказать, являются мощными техническими и социальными факторами, препятствующими дальнейшему развитию сервера.

СКС сервер программное обеспечение было разработано в уникальном диалекте необычным языком программирования, называют данные, используемые при Ярон Мински в рамках кандидатской диссертации.

Программное обеспечение поддерживается с В сервера сообщества чувство квалифицирован, чтобы сделать серьезный капитальный ремонт базы кода, написанного в малоизвестном языке программирования со странными обычаями никто.

Кроме того, проблема не из-за ошибки как таковые, но дизайн цель, которая должна быть изменена. Это означало бы, вырвав большой кусок текущей базы кода и замена его программного обеспечения, что ведет себя очень diffierently.

Кроме того, в сети сервера ключей не имеют централизованной власти, снова сделать его устойчивым контролем правительства. Это делает изменения цели еще труднее, чем обычно, сказал Хансен.

Настоящее, единственное смягчение последствий для пользователей не для получения данных от сервера СКС сети, сказал Хансен.

Нападение возмутило OpenPGP для сообщества, которое подозревает, что это было сделано в качестве эксперимента.

Гилмор назвал нападение “да, это не красиво” и сказал, что это заставило его покинуть проект.

Хансен, используя более жесткие формулировки в сообщение нападающему:

“Я не ненавижу тебя и не желаю никакого вреда приключиться тебе.

Но если ты попал под автобус, переходя дорогу, я скажу водителю, все заслуживают второй шанс в некоторое время.

Ты дурак. Вы абсолютный, абсолютным, незапятнанным, полным и абсолютным, дурак.

Мир для всех — включая вас, вы сукин сын”. – написал он.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here