Javíthatatlan hibát fedeztek fel egy népszerű PGP kulcsszerver hálózatban

 

Alapjaiban kérdőjeleződött meg a titkosított levelezést lehetővé tévő OpenPGP egy népszerű kulcsszerver hálózatának (Synchronizing Key Server – SKS) használhatósága. Ismeretlen személyek ugyanis egy célzott támadás során képesek voltak a PGP közösség két prominens személyének (Robert J. Hansen és Daniel Kahn Gillmor) kulcsait „kompromittálni” oly módon, hogy azokat több százezer aláírással látták el. A problémát ezzel kapcsolatban az jelenti, hogy az ilyen, módosított kulcsok importálása a GnuPG kliensek elérhetetlenségét okozzák. A legnagyobb gondot azonban az jelenti, hogy a sérülékenység hátterében egy tervezési hiba áll, amely biztonsági frissítéssel nem orvosolható. A kulcsszerverek ugyanis bármikor hozzátehetnek információt egy már feltöltött PGP kulcshoz, azonban azt nem törölhetik, sem egészében, sem részben. A javíthatatlan állapot miatt Hansen javasolja az SKS kulcskiszolgálók azonnali leállítását a kritikus környezetekben. Átmeneti megoldást jelenthet a néhány héttel ezelőtt bejelentett OpenPGP kulcskiszolgáló Projekt, amelyet korábban sok kritika ért, épp amiatt, ami most előnynek számít, azaz, hogy ez nem tárolja harmadik fél aláírásait.

(heise.de)