Dai cari: stiamo discutendo di qualcosa che ha radici nel passato
millennio, quando magari ci si orientava più alla buona educazione che alla
malvagità.
Il problema non mi pare sia "chi l'ha rotta" ma "come aggiustarla".
Qui Daniele mi pare abbia dato qualche spunto che potrebbe eventualmente
approfondire per gli inesperti di PGP / GPG come il sottoscritto?
diego
---------------------------------------
Diego Maniacco, Bolzano (Italy)
diego.maniacco@xxxxxxxxx
---------------------------------------
On Mon, 1 Jul 2019 at 11:52, Marco Ciampa <ciampix@xxxxxxxxxx> wrote:
On Mon, Jul 01, 2019 at 10:40:56AM +0200, Daniele Nicolodi wrote:
On 01/07/2019 02:03, Marco Ciampa wrote:di
On Mon, Jul 01, 2019 at 09:38:47AM +0200, Roberto Resoli wrote:
... e non c'è difesa possibile, al momento.
Lo dice uno dei mantainer di GnuPG, Robert J. Hansen:
https://gist.github.com/rjhansen/67ab921ffb4084c865b3618d6955275f
In sintesi, per quello che mi sembra di aver capito finora, si tratta
stesso,un'attacco stile DOS su alcuni certificati, tra cui quello di Hansen
Questo fache che si trovano ad avere qualcosa come 150.000 firme associate.
deiesplodere qualsiasi installazione gpg che si trovi ad importare uno
rete deicertificati "avvelenati".
La cosa è particolarmente grave perchè per scelta implementativa la
certificati, e nonserver SKS non cancella mai alcun certificato, nè alcuna informazione
riguardante i certificati caricati. Chiunque può caricare
negli annic'è limite al numero di firme di un certificato.
Aggiungiamo che il sw che implementa SKS è stato scritto in OCaml
revisione'90 per una (geniale) tesi PhD, e "non c'è letteralmente nessuno nella
comunità dei keyserver che si senta qualificato per fare una seria
networkdel codice base."
Hansen raccomanda: "High-risk users should stop using the keyserver
http://gnupg.10057.n7.nabble.com/SKS-Keyserver-Network-Under-Attack-td63934.htmlimmediately."
Molto interessante il thread sulla lista GnuPG - Users:
A me viene da dire: se la sono cercata. Scusate ma fare un sito in un
linguaggio sconosciuto ai più, per di più non manutenuto e abbandonato,
creato come tesi di laurea (quindi "l'apoteosi" del "one-time-program")
per una cosa così importante mi pare proprio di rivedere la storia dei
certificati ssl su Debian. Queste cose qui non si possono trattare con
superficialità e poi lamentarsi che poi GPG venga vista come "crap
opensource"...
È la dimostrazione che è proprio "crap opensource" e sputtana tutti.
Ora è tardi per piangere sul latte versato...
Il protocollo SMTP è responsabile del 100% dello spam, ma non ho mai
letto parole simili alle tue per gli ideatori del protocollo. Il
protocollo DNS dal punto di vista della sicurezza è un incubo ed è usato
comunemente per attacchi con conseguenze disastrose, ma anche in questo
caso non mi pare di aver visto espressioni di questo tipo. Volgiamo
aggiungere alla lista l'ultimo baco del protocollo TCP nel kernel Linux,
nonostante il kernel Linux raccolga (ad una stima spannometrica) circa
un milione di volte le risorse per lo sviluppo dell'infrastruttura
OpenPGP? Perché i key-server OpenPGP meritano un trattamento diverso?
Chi sarebbero coloro che "se la sono cercata"? Dal tuo tono, capisco
che la questione ti sta a cuore da lungo tempo e che ti sei impegnato in
prima persona per raccogliere i fondi necessari a fare il lavoro per
migliorare l'infrastruttura dei key server. Stai forse anche suggerendo
che tu hai fatto il lavoro di re-implementare il protocollo in maniera
più affidabile e che i gestori dei key-server si sono rifiutati di
mettere in produzione il tuo codice? Questo sarebbe grave!
Tuttavia, anche se una implementazione alternativa esistesse, il
problema è il principio di funzionamento dei key-server, non la
specifica implementazione.
Forse, mentre eri così impegnato a trovare una soluzione per il probelma
dei key-server SKS, non ti sei reso conto che nel frattempo protocolli
alternativi per la distribuzione delle chiavi OpenPGP sono emersi. Per
quanto fastidioso questo incidente, come spiega Hansen, non arriva
inaspettato e la comunità GPG ha cercato ed implementato soluzioni
alternative già da un po'. Tra le altre:
https://keys.openpgp.org/about/news
https://wiki.gnupg.org/WKD
Alcuni email provider implementato WKD, incluso Posteo, se non sbaglio.
Ciao,
Daniele
Gli attacchi personali, come argomentazione, dimostrano poco direi...
Stesso dicasi per argomentazioni/esempi che centrano poco o niente
Poi, mi pare mi stia dando ragione in pratica, per cui non capisco bene
il senso, che significato ha, che fine vuoi ottenere, boh.
Io non mi occupo di GPG, né di kernel, tu si? Non mi pare... per cui non
capisco bene perché te la prenda tanto...
Ripeto forse non sono stato chiaro: la cosa è stata trattata con poca
lungimiranza e con leggerezza per ammissione degli stessi autori.
Semplicemente mi aggiungo alle persone che sono un po' scocciate per
la figura e per l'impatto che questa cosa sta avendo sull'immagine
di tutta la comunità free/open.
--
Marco Ciampa
I know a joke about UDP, but you might not get it.
------------------------
GNU/Linux User #78271
FSFE fellow #364
------------------------
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx