Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Неизвестные модифицовали сертификаты OpenPGP

02/07/19

hack17-1Неизвестные атаковали цифровые сертификаты OpenPGP двух ключевых участников сообщества, в результате чего модифицированные сертификаты попали в сеть сервера ключей шифрования. При попытке загрузить такой сертификат установки OpenPGP выходят из строя.

Атака произошла в конце прошлого месяца. Злоумышленники воспользовались дефектом в протоколе OpenPGP и скомпрометировали сертификаты двух разработчиков, Роберта Дж. Хансена (Robert J. Hansen) и Дэниела Кана Гиллмора (Daniel Kahn Gillmor), известных сообществу как «rjh» и «dkg».

По мнению Хансена, нет причин считать, что злоумышленники остановятся на двух сертификатах. «Учитывая простоту и разрекламированный успех атаки, можно предположить, что вскоре будут модифицированы и другие сертификаты», - отметил разработчик.

Как пояснил Хансен, ни сеть сервера ключей шифрования, ни OpenPGP Working Group не смогут противостоять атакам до выхода исправления для уязвимости в протоколе OpenPGP, которое, вероятно, будет включено в будущие релизы.

ПО сервера ключей шифрования и сеть были созданы три десятка лет назад для обнаружения и распространения публичных сертификатов. Как оказалось, серверы ключей подвержены серьезной уязвимости – они не удаляют информацию о сертификатах. По сути, сеть сервера ключей представляет собой огромный файловый сервер, записывать данные на который может любой желающий.

Об этой проблеме известно уже не один десяток лет, но из-за технических сложностей ее до сих пор не решили. К примеру, серверное ПО SKS (Synchronizing Key Server) было написано на языке OCaml только в качестве PoC и по-прежнему остается недоработанным. Изменение архитектуры сети сервера ключей повлечет за собой необходимость перестраивать все с нуля, пояснил Хансен.

По словам разработчика, публичные сертификаты подтверждают свою принадлежность конкретному лицу, но спецификация OpenPGP не ограничивает число подписей, которые могут быть прикреплены к сертификату.

«Сеть сервера ключей способна обрабатывать сертификаты с 150 тыс. подписей. С другой стороны, GnuPG этого не может. При каждом столкновении GnuPG с подобным сертификатом программа будет прекращать работу», - отметил разработчик.

Темы:Преступленияключи шифрованияOpenPGP
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...