On Mon, Jul 01, 2019 at 09:38:47AM +0200, Roberto Resoli wrote:
... e non c'è difesa possibile, al momento.
Lo dice uno dei mantainer di GnuPG, Robert J. Hansen:
https://gist.github.com/rjhansen/67ab921ffb4084c865b3618d6955275f
In sintesi, per quello che mi sembra di aver capito finora, si tratta di
un'attacco stile DOS su alcuni certificati, tra cui quello di Hansen stesso,
che che si trovano ad avere qualcosa come 150.000 firme associate. Questo fa
esplodere qualsiasi installazione gpg che si trovi ad importare uno dei
certificati "avvelenati".
La cosa è particolarmente grave perchè per scelta implementativa la rete dei
server SKS non cancella mai alcun certificato, nè alcuna informazione
riguardante i certificati caricati. Chiunque può caricare certificati, e non
c'è limite al numero di firme di un certificato.
Aggiungiamo che il sw che implementa SKS è stato scritto in OCaml negli anni
'90 per una (geniale) tesi PhD, e "non c'è letteralmente nessuno nella
comunità dei keyserver che si senta qualificato per fare una seria revisione
del codice base."
Hansen raccomanda: "High-risk users should stop using the keyserver network
immediately."
Molto interessante il thread sulla lista GnuPG - Users:
http://gnupg.10057.n7.nabble.com/SKS-Keyserver-Network-Under-Attack-td63934.html