https://www.opennet.me/openforum/vsluhforumID3/117786.html Зафиксирована (https://gist.github.com/rjhansen/67ab921ffb4084c865b3618d6955275f) атака на сеть серверов криптографических ключей, построенных на базе ПО SKS Keyserver (https://bitbucket.org/skskeyserver/sks-keyserver/src/default/). Атакующие воспользовались проблемой в протоколе OpenPGP, о которой известно уже более 10 лет, но которая неустранима без кардинальных изменений и до сих пор не применялась для осуществления реальных атак. В случае импорта с сервера атакованного OpenPGP-сертификата проблема приводит к нарушению работы окружения GnuPG у пользователя (зависание, делающее невозможным дальнейшую работу).<br><br><br>Суть атаки в размещении на серверах хранения открытых ключей большого числа подписей для сертификата жертвы. Спецификация OpenPGP даёт возможность пользователям добавлять цифровые подписи для произвольных сертификатов, подтверждая их владельца, но не регламентирует максимальное число таких подписей. Сервер ключей SKS допускает размещение в сети до 150 тысяч подписей на один сертификат, но GnuPG https://www.opennet.me/openforum/vsluhforumID3/117786.html#64 Tue, 09 Jul 2019 00:54:34 GMT Но ведь тебе не нужны 100500 подписей ключа. Тебя интересует весьма небольшое множество - юзкейс же я хочу проверить подписан ли этот ключ теми ключами, которым я доверяю, а не всеми вообще, а это уже, по всей видимости, требует потрогать сервера чтобы они в это умели вместо того чтобы вываливать на клиента всё и сразу. Ну или хотя бы итераторы изобрести, чтобы можно было порциями подписи скачивать, пока не найдётся удовлетворяющая критерию или подписи не кончатся.<br> https://www.opennet.me/openforum/vsluhforumID3/117786.html#63 Sun, 07 Jul 2019 08:17:36 GMT &gt; Значит необходимо добавить в Gnupg патч добавляющий поддержку подобного количества ключей, и все дела. Раздули проблему на ровном месте. )))<br><br>Скоты хотят испортить алгоритмы и базы ключей! Видять скотам они теперь сильно мешать начали...<br><br><br><br>Не надо трогать сервера!<br><br>Не надо прикасатся к алгоритмам!<br><br>Не надо прикасатся к базам ключей!!!<br><br>Надо увеличить максимальное число подписей ключа до 150 000 всего у одной программе - gnupg !<br><br> https://www.opennet.me/openforum/vsluhforumID3/117786.html#62 Sun, 07 Jul 2019 08:14:07 GMT Не надо трогать сервера!<br><br>Не надо прикасатся к алгоритмам!<br><br>Не надо прикасатся к ключам!!!<br><br>Надо увеличить максимальное число подписей ключа до 150 000 всего у одной программе - gnupg !<br> https://www.opennet.me/openforum/vsluhforumID3/117786.html#61 Sun, 07 Jul 2019 08:12:38 GMT Не надо трогать сервера!<br><br>Не надо прикасатся к алгоритмам!<br><br>Не надо прикасатся к ключам!!!<br><br>Надо увеличить максимальное число подписей ключа до 150 000 всего у одной программе - GNUpg !<br> https://www.opennet.me/openforum/vsluhforumID3/117786.html#60 Sun, 07 Jul 2019 08:10:12 GMT &gt; Что помешало на этих кеу серверах уменьшить макс число новых ключей до допустимого gnupg..<br><br>Не надо трогать сервера!<br><br>Не надо прикасатся к алгоритмам!<br><br>Не надо прикасатся к ключам!!!<br><br>Надо увеличить максимальное число подписей ключа до 150 000 всего у одной программе - gpg !<br> https://www.opennet.me/openforum/vsluhforumID3/117786.html#59 Sun, 07 Jul 2019 08:06:29 GMT Не освещатся, а внедрять незаметный изян в идеальный алгоритм.<br><br>Сервер ключей трогать не надо!!!<br><br>Алгоритмы трогать не надо!!!<br><br>Виснет gpg на стороне НЕКОТОРЫХ пользователей. Следовательно проблему надо исправить всего то увеличив лимит допустимых подписей ключа в _одной_ КЛИЕНТСКОЙ программе gpg!<br> https://www.opennet.me/openforum/vsluhforumID3/117786.html#58 Sun, 07 Jul 2019 08:00:01 GMT На стороне пользователя можно придумать алгоритм гарантирующий защиту :<br><br>0. Допустим хранилище содержит только верифицированные, подписанные, доверительные публичные ключи. 1 ваш секретный ключ. <br><br>1. Бекапим папку ${HOME}/.gnupg<br><br>cp -pr ${HOME}/.gnupg ${HOME}/.gnupg_backup-20190708<br><br>2. Бекап публичных ключей:<br>gpg --armor --export --output pgp_public_keys-20190708.pub<br><br>Просмотр бекапа:<br>gpg --show-keys pgp_public_keys-2019.pub<br><br>Этими ключами можно обмениваться при личной встрече!<br><br>3. Теперь можно делать import ОДНОГО открытого ключа с сервера.<br><br>4. Смотрим импортированный ключ<br>gpg -- fingerprint<br><br>5. Верифицируем загруженный ключ и все ключи в нашей базе на сервере ключей.<br>Если не подвисло значит в нашей базе нет атакованных ключей.<br>Если подвисло, значит как минимум один ключ атакован.<br>Востанавливаем с бекапа ключи по одному и повторяем верификацию принудительно после каждого добавленного ключа.<br>Если верификация прошла ключ помещаем в белый список.<br>После импорта атакованого ключа система https://www.opennet.me/openforum/vsluhforumID3/117786.html#57 Fri, 05 Jul 2019 10:06:24 GMT мудрое решение проблемы &#8212; чтобы размещать подписи, сколько бы их ни было, мог бы размещать только владелец ключа.<br><br>пока что это только лишь знак хорошего тона, хочешь подписать ключ &#8212; подпиши и отправь зашифрованное письмо владельцу, а уж он сам выложит на сервер.<br><br>сделать такую практику обязательной &#8212; всего и делов то.<br> https://www.opennet.me/openforum/vsluhforumID3/117786.html#56 Thu, 04 Jul 2019 14:19:05 GMT Публичный ключ для проверки лежит в /etc/signify/openbsdXY-release.pub и на сайте/твитторе/мастодоне/etc.<br>