Tags:
Node Thumbnail

Robert J. Hansen ผู้ดูแลเอกสารของ GnuPG รายงานถึงการโจมตีเซิร์ฟเวอร์กุญแจ (Synchronizing Key Server - SKS) ที่ใช้ค้นหากุญแจสาธารณะสำหรับผู้รับอีเมลปลายทาง ถูกโจมตีโดยมุ่งเป้าไปยังนักพัฒนาบางคนด้วยการโพสใบรับรองกุญแจจำนวนมาก จน OpenPGP ทำงานไม่ได้ หรือทำงานได้ช้า

กระบวนการตรวจสอบกุญแขของ OpenPGP อาศัยการรับรองกันเองของผู้ใช้ โดยเมื่อผู้ใช้คนหนึ่งอ้างตัวว่าเป็นเจ้าของอีเมลและประกาศกุญแจสาธารณะออกมา เขาต้องให้ผู้อื่นมาเซ็นกุญแจรับรองโดยเรียกว่า (certificate signature) โดยตอนนี้มีคนอัพโหลดการเซ็นกุญแจรับรองเหล่านี้จำนวนมาก นับแสนรายการเข้าไปยังเซิร์ฟเวอร์ SKS ทำให้หากไคลเอนต์ซิงก์ข้อมูลลงมาและตรวจสอบอีเมลเหล่านี้ โปรแกรมก็จะค้างไป

ซอฟต์แวร์ SKS ถูกออกแบบมาตั้งแต่ช่วงปี 1990 โดยเป็นงานวิจัยปริญญาเอกของ Yaron Minsky โดยเน้นการป้องกันการลบและแก้ไขข้อมูลในกรณีที่รัฐบาลกดดันให้ผู้ดูแลเซิร์ฟเวอร์แก้ไขข้อมูล แต่ไม่ได้คำนึงถึงการโจมตีในกรณีที่เป็นการยิงสแปมเอาไว้

ตอนนี้ผู้ที่เกี่ยวข้องกับโครงการ GunPG สองคนถูกสแปมสำให้มีรายการเซ็นรับรองกุญแจเกือบ 150,000 รายการต่อคน ตอนนี้ยังไม่มีข้อมูลว่ามีคนอื่นถูกสแปมแบบนี้อีกหรือไม่ โดย Hansen แนะนำให้หยุดใช้ SKS ดั้งเดิมและไปใช้เซิร์ฟเวอร์ keys.openpgp.org ที่มีระบบป้องกันสแปมแทนที่ไปก่อน แม้จะมีฟีเจอร์ไม่เท่ากันก็ตาม

ที่มา - Github: rjhansen, iTNews

No Description

ภาพโดย AndyPandy

Get latest news from Blognone

Comments

By: xenatt
ContributorWindows PhoneRed HatSymbian
on 1 July 2019 - 19:42 #1118034
xenatt's picture

OpenPGP server มันเกี่ยวกับ Linux Repository ด้วย
เพราะจำเป็นต้องใช้ในการยืนยันว่า package นั้น Sign มาถูกต้องรึเปล่า ไม่ใช่แค่เข้ารหัสถอดรหัส email อย่างเดียว ผมทำ Package Repository จำเป็นต้อง Upload key ขึ้น server


Opensource - Hackintosh - Graphic Design - Scriptkiddie - Xenlism Project

By: IDCET
Contributor
on 1 July 2019 - 20:04 #1118041

มีสิทธิ์ที่การสแปมจะเบี่ยงให้ไปใช้หลุมพรางของคนโจมตีหรือเปล่าเนี่ย เห็นว่า PGP Server อันนึงไม่มีปัญหาเลยใช้งานชั่วคราวไปก่อน แต่อาจกลายเป็นเหยื่อโดนสำเนาหรือแกะข้อมูลก็ได้ ประมาณนี้

By: langisser
In Love
on 2 July 2019 - 21:19 #1118341 Reply to:1118041

จริงๆมันก็เป็นไปได้นะ

By: hisoft
ContributorWindows PhoneWindows
on 1 July 2019 - 20:36 #1118051
hisoft's picture

GunPG -> GnuPG รึเปล่าครับ?

By: panurat2000
ContributorSymbianUbuntuIn Love
on 2 July 2019 - 13:33 #1118217 Reply to:1118051
panurat2000's picture

กระบวนการตรวจสอบกุญแขของ OpenPGP

กุญแข => กุญแจ

ถูกสแปมสำให้มีรายการเซ็นรับรองกุญแจ

สำให้ => ทำให้