[Linuxtrent] Re: [Linuxtrent] Re: La rete dei server SKS (chiavi GPG) è sotto attacco
- From: Daniele Nicolodi <daniele@xxxxxxxxxx>
- To: linuxtrent@xxxxxxxxxxxxx
- Date: Mon, 1 Jul 2019 10:40:56 +0200
On 01/07/2019 02:03, Marco Ciampa wrote:
On Mon, Jul 01, 2019 at 09:38:47AM +0200, Roberto Resoli wrote:
... e non c'è difesa possibile, al momento.
Lo dice uno dei mantainer di GnuPG, Robert J. Hansen:
https://gist.github.com/rjhansen/67ab921ffb4084c865b3618d6955275f
In sintesi, per quello che mi sembra di aver capito finora, si tratta di
un'attacco stile DOS su alcuni certificati, tra cui quello di Hansen stesso,
che che si trovano ad avere qualcosa come 150.000 firme associate. Questo fa
esplodere qualsiasi installazione gpg che si trovi ad importare uno dei
certificati "avvelenati".
La cosa è particolarmente grave perchè per scelta implementativa la rete dei
server SKS non cancella mai alcun certificato, nè alcuna informazione
riguardante i certificati caricati. Chiunque può caricare certificati, e non
c'è limite al numero di firme di un certificato.
Aggiungiamo che il sw che implementa SKS è stato scritto in OCaml negli anni
'90 per una (geniale) tesi PhD, e "non c'è letteralmente nessuno nella
comunità dei keyserver che si senta qualificato per fare una seria revisione
del codice base."
Hansen raccomanda: "High-risk users should stop using the keyserver network
immediately."
Molto interessante il thread sulla lista GnuPG - Users:
http://gnupg.10057.n7.nabble.com/SKS-Keyserver-Network-Under-Attack-td63934.html
A me viene da dire: se la sono cercata. Scusate ma fare un sito in un
linguaggio sconosciuto ai più, per di più non manutenuto e abbandonato,
creato come tesi di laurea (quindi "l'apoteosi" del "one-time-program")
per una cosa così importante mi pare proprio di rivedere la storia dei
certificati ssl su Debian. Queste cose qui non si possono trattare con
superficialità e poi lamentarsi che poi GPG venga vista come "crap
opensource"...
È la dimostrazione che è proprio "crap opensource" e sputtana tutti.
Ora è tardi per piangere sul latte versato...
Il protocollo SMTP è responsabile del 100% dello spam, ma non ho mai
letto parole simili alle tue per gli ideatori del protocollo. Il
protocollo DNS dal punto di vista della sicurezza è un incubo ed è usato
comunemente per attacchi con conseguenze disastrose, ma anche in questo
caso non mi pare di aver visto espressioni di questo tipo. Volgiamo
aggiungere alla lista l'ultimo baco del protocollo TCP nel kernel Linux,
nonostante il kernel Linux raccolga (ad una stima spannometrica) circa
un milione di volte le risorse per lo sviluppo dell'infrastruttura
OpenPGP? Perché i key-server OpenPGP meritano un trattamento diverso?
Chi sarebbero coloro che "se la sono cercata"? Dal tuo tono, capisco
che la questione ti sta a cuore da lungo tempo e che ti sei impegnato in
prima persona per raccogliere i fondi necessari a fare il lavoro per
migliorare l'infrastruttura dei key server. Stai forse anche suggerendo
che tu hai fatto il lavoro di re-implementare il protocollo in maniera
più affidabile e che i gestori dei key-server si sono rifiutati di
mettere in produzione il tuo codice? Questo sarebbe grave!
Tuttavia, anche se una implementazione alternativa esistesse, il
problema è il principio di funzionamento dei key-server, non la
specifica implementazione.
Forse, mentre eri così impegnato a trovare una soluzione per il probelma
dei key-server SKS, non ti sei reso conto che nel frattempo protocolli
alternativi per la distribuzione delle chiavi OpenPGP sono emersi. Per
quanto fastidioso questo incidente, come spiega Hansen, non arriva
inaspettato e la comunità GPG ha cercato ed implementato soluzioni
alternative già da un po'. Tra le altre:
https://keys.openpgp.org/about/news
https://wiki.gnupg.org/WKD
Alcuni email provider implementato WKD, incluso Posteo, se non sbaglio.
Ciao,
Daniele
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a
mailto:linuxtrent-request@xxxxxxxxxxxxx
Other related posts: