... e non c'è difesa possibile, al momento.
Lo dice uno dei mantainer di GnuPG, Robert J. Hansen:
https://gist.github.com/rjhansen/67ab921ffb4084c865b3618d6955275f
In sintesi, per quello che mi sembra di aver capito finora, si tratta di
un'attacco stile DOS su alcuni certificati, tra cui quello di Hansen
stesso, che che si trovano ad avere qualcosa come 150.000 firme
associate. Questo fa esplodere qualsiasi installazione gpg che si trovi
ad importare uno dei certificati "avvelenati".
La cosa è particolarmente grave perchè per scelta implementativa la rete
dei server SKS non cancella mai alcun certificato, nè alcuna
informazione riguardante i certificati caricati. Chiunque può caricare
certificati, e non c'è limite al numero di firme di un certificato.
Aggiungiamo che il sw che implementa SKS è stato scritto in OCaml negli
anni '90 per una (geniale) tesi PhD, e "non c'è letteralmente nessuno
nella comunità dei keyserver che si senta qualificato per fare una seria
revisione del codice base."
Hansen raccomanda: "High-risk users should stop using the keyserver
network immediately."
Molto interessante il thread sulla lista GnuPG - Users:
http://gnupg.10057.n7.nabble.com/SKS-Keyserver-Network-Under-Attack-td63934.html
rob
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx