Robert J. Hansen ผู้ดูแลเอกสารของ GnuPG รายงานถึงการโจมตีเซิร์ฟเวอร์กุญแจ (Synchronizing Key Server - SKS) ที่ใช้ค้นหากุญแจสาธารณะสำหรับผู้รับอีเมลปลายทาง ถูกโจมตีโดยมุ่งเป้าไปยังนักพัฒนาบางคนด้วยการโพสใบรับรองกุญแจจำนวนมาก จน OpenPGP ทำงานไม่ได้ หรือทำงานได้ช้า

กระบวนการตรวจสอบกุญแขของ OpenPGP อาศัยการรับรองกันเองของผู้ใช้ โดยเมื่อผู้ใช้คนหนึ่งอ้างตัวว่าเป็นเจ้าของอีเมลและประกาศกุญแจสาธารณะออกมา เขาต้องให้ผู้อื่นมาเซ็นกุญแจรับรองโดยเรียกว่า (certificate signature) โดยตอนนี้มีคนอัพโหลดการเซ็นกุญแจรับรองเหล่านี้จำนวนมาก นับแสนรายการเข้าไปยังเซิร์ฟเวอร์ SKS ทำให้หากไคลเอนต์ซิงก์ข้อมูลลงมาและตรวจสอบอีเมลเหล่านี้ โปรแกรมก็จะค้างไป

ซอฟต์แวร์ SKS ถูกออกแบบมาตั้งแต่ช่วงปี 1990 โดยเป็นงานวิจัยปริญญาเอกของ Yaron Minsky โดยเน้นการป้องกันการลบและแก้ไขข้อมูลในกรณีที่รัฐบาลกดดันให้ผู้ดูแลเซิร์ฟเวอร์แก้ไขข้อมูล แต่ไม่ได้คำนึงถึงการโจมตีในกรณีที่เป็นการยิงสแปมเอาไว้

ตอนนี้ผู้ที่เกี่ยวข้องกับโครงการ GunPG สองคนถูกสแปมสำให้มีรายการเซ็นรับรองกุญแจเกือบ 150,000 รายการต่อคน ตอนนี้ยังไม่มีข้อมูลว่ามีคนอื่นถูกสแปมแบบนี้อีกหรือไม่ โดย Hansen แนะนำให้หยุดใช้ SKS ดั้งเดิมและไปใช้เซิร์ฟเวอร์ keys.openpgp.org ที่มีระบบป้องกันสแปมแทนที่ไปก่อน แม้จะมีฟีเจอร์ไม่เท่ากันก็ตาม

ที่มา - Github: rjhansen, iTNews

ภาพโดย AndyPandy