Тот, кто ищет миллионы, весьма редко их находит, но зато тот, кто их не ищет, - не находит никогда!

Сын пишет матери письмо из Африки: ...

Кеннет Рейц в поисках новых мейнтейнеров для своих репозиториев
Thu, 18 Jul 2019 07:16:37 +0300

Разработчики Fedora намерены прекратить формирование репозиториев для архитектуры i686
Wed, 17 Jul 2019 18:21:36 +0300

ISO-образы дистрибутива Nitrux стали платными
Wed, 17 Jul 2019 17:05:31 +0300

Возобновление работы по интеграции поддержки Tor в Firefox
Wed, 17 Jul 2019 10:53:05 +0300

В Firefox 70 страницы открытые по HTTP начнут помечаться как небезопасные
Wed, 17 Jul 2019 10:47:46 +0300

Компания Epic Games пожертвовала 1.2 млн долларов Blender и развивает продукты для Linux
Tue, 16 Jul 2019 06:27:05 +0300

Microsoft открыл код Quantum Development Kit для разработки квантовых алгоритмов
Mon, 15 Jul 2019 21:44:07 +0300

В ночных сборках Firefox для Linux активирован WebRender для видеокарт NVIDIA
Mon, 15 Jul 2019 09:35:10 +0300

Разработчики Haiku развивают порты для RISC-V и ARM
Fri, 12 Jul 2019 09:27:46 +0300

Mozilla заблокировала сертификаты удостоверяющего центра DarkMatter
Wed, 10 Jul 2019 09:26:28 +0300

Официально завершена сделка о покупке Red Hat компанией IBM
Tue, 09 Jul 2019 16:42:12 +0300

Компания Mozilla определила получателей грантов исследовательским проектам
Tue, 09 Jul 2019 11:34:54 +0300

В августе под Минском пройдёт международная конференция LVEE 2019
Mon, 08 Jul 2019 11:09:57 +0300

В Великобритании Firefox не будет использовать DNS-over-HTTPS из-за претензий в обходе блокировок
Sat, 06 Jul 2019 23:31:36 +0300

Для Chrome разрабатывают режим блокировки ресурсоёмкой рекламы
Fri, 05 Jul 2019 11:17:42 +0300

Новости OPENNET
Новости

Зафиксирована атака на сеть серверов криптографических ключей, построенных на базе ПО SKS Keyserver. Атакующие воспользовались проблемой в протоколе OpenPGP, о которой известно уже более 10 лет, но которая неустранима без кардинальных изменений и до сих пор не применялась для осуществления реальных атак. В случае импорта с сервера атакованного OpenPGP-сертификата проблема приводит к нарушению работы окружения GnuPG у пользователя (зависание, делающее невозможным дальнейшую работу).

Суть атаки в размещении на серверах хранения открытых ключей большого числа подписей для сертификата жертвы. Спецификация OpenPGP даёт возможность пользователям добавлять цифровые подписи для произвольных сертификатов, подтверждая их владельца, но не регламентирует максимальное число таких подписей. Сервер ключей SKS допускает размещение в сети до 150 тысяч подписей на один сертификат, но GnuPG такое число подписей не поддерживает. Попытка загрузки пользователем атакованного сертификата приводит к трудно восстановимому нарушению нормальной работы GnuPG и других реализаций OpenPGP.

В силу распределённого характера сети ключей предсказать на какие ещё сертификаты направлена атака невозможно до момента начала проявления сбоев при их обработке. Иными словами любой сертификат может быть атакован и эта атака проявится лишь тогда, когда начнутся сбои. Единственным способом защиты является полное прекращение использования серверов ключей, т.е. необходимо удаление настроек keyserver из gpg.conf. Если проблема уже проявилась, то, если известен проблемный сертификат, для восстановления работы достаточно удалить его из локального хранилища, а если сертификат не известен, то,

возможно, потребуется пересоздание хранилища сертификатов на основе проверенных открытых ключей.

Рекомендация по полному прекращению использования существующих серверов ключей обусловлена тем, что пострадавшие в ходе атаки сертификаты не могут быть удалены из сети серверов ключей, а атакованные сертификаты невозможно отследить до проявления сбоя на стороне пользователей. В строй введён новый экспериментальный сервер ключей keys.openpgp.org, в котором реализована защита от подобных атак, но БД данного сервера заполняется с нуля, а сам сервер не входит в сеть серверов криптографических ключей. Для активации данного сервера в конец файла dirmngr.conf можно добавить строку "keyserver keys.openpgp.org". При этом в обозримом будущем атака не может быть блокирована на уровне уже существующих сетей хранения ключей SKS.

Основная проблема в том, что одним из ключевых принципов серверов хранения ключей является то, что уже размещённый сертификат никаким образом не может быть удалён. Сертификаты и любую другую информацию можно только добавлять, но не удалять, чтобы оставалась цепочка для прослеживания всех действий и было невозможно подменить сертификат после его удаления. Более того, серверы криптографических ключей постоянно взаимодействуют между собой и осуществляют сверку своих баз для выявления возможных изменений или удаления сертификатов. Не существует единого эталонного сервера, на котором можно было бы удалить проблемные записи, все серверы равноправны, что делает задачу внесения архитектурных изменений крайне сложной.

Маловероятно, что исправление, нарушающее данную концепцию, будет внесено на уровне протокола OpenPGP. В любом случае для исправления и обновления ПО на серверах и клиентских системах потребуется очень много времени. Внесению исправления на уровне ПО SKS (Synchronizing Key Server) мешает необходимость аккуратного изменения проверенного временем достаточно сложного алгоритма синхронизации. Задача усложняется тем, что SKS написан на достаточно специфичном языке OCaml и остаётся без сопровождающего - никто из остающихся в сообществе разработчиков не знает начинку настолько хорошо, чтобы безболезненно вносить фундаментальные изменения (в текущем виде в код вносятся лишь исправления ошибок, но в данном случае требуется переработка архитектуры).

В настоящее время приводящее к проблемам наводнение подписями сертификатов зафиксировано для двух известных участников сообщества OpenPGP (Robert J. Hansen (rjh) и Daniel Kahn Gillmor (dkg)). Ожидается, что атака не остановится на двух жертвах и из-за простоты проведения атаки число проблемных сертификатов лишь будет расти со временем. Возможный размер ущерба от атаки пока трудно оценить.

9.1493 70.5552 0.5814 62.9451

НОВОСТИ: Кеннет Рейц в поисках новых мейнтейнеров для своих репозиториев Thu, 18 Jul 2019 07:16:37 +0300

Кеннет Рейц (Kenneth Reitz) - известный инженер-программист, международный докладчик, сторонник открытого кода, уличный фотограф и продюсер электронной музыки предлагает разработчикам свободного ПО взять на себя бремя мейнтейнера одного из своих репозиториев с библиотеками для Python.

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome