PGP SKS的关键网络被不知名的黑客毒死

两个备受瞩目的PGP项目贡献者面临着未知威胁参与者的攻击，这些攻击者已经破坏了SKS密钥服务器网络使用的证书。PGP是一种加密软件，用于保护窃听者的电子邮件通信。上周，OpenPGP项目开发人员Robert“rjh”Hansen和Daniel Kahn“dkg”Gillmor受到了攻击，这些攻击将他们的公共加密身份标记为垃圾邮件。正如Vice所报告的那样，Hansen和Gillmor透露有人正在中毒他们的证书 - 这个过程会导致大量的签名或证书，并阻止加密身份被正确证。在详细介绍攻击事件的帖子中，汉森说，威胁行为者利用OpenPGP协议中的“缺陷”来毒害他们的证书。任何试图导入这些受损证书的人都很可能会破坏他们的软件安装和客户端。

也可以看看：

亚马逊确认Alexa客户录音将永久保存

“有毒证书已经存在于SKS密钥服务器网络上，”开发人员补充道。“没有理由相信攻击者会因为中毒两个证书而停止。此外，鉴于攻击的容易程度和攻击的高度宣传成功，谨慎的做法是认为其他证书很快就会中毒。”

遗憾的是，这次攻击无法迅速得到纠正或缓解，并且在将来的版本中没有时间框架可用于修复。防止暴露于攻击的唯一方法是停止从SKS密钥服务器网络检索证书和数据。

密钥服务器是PGP的核心组件和协议用户的认证。服务器的设计元素 - 其中可以添加但不删除信息 - 在20世纪90年代开始时运行良好，但开发人员表示团队已经知道设计缺陷和潜在的攻击向量多年。

“我们已经知道十年来这种攻击是可能的，”汉森说。“它现在在这里，它是毁灭性的。”

由于密钥服务器的只写设计，证书垃圾邮件只是系统易受攻击的各种攻击之一。

有严重的技术和社会问题阻止密钥服务器轻易防止证书中毒，并且更严重的是，SKS代码是用一种不起眼的语言写成的博士。论文。不可能简单地发布补丁 - 可能需要完整的基础设施大修。

TechRepublic：

除非安全和开发团队更好地沟通，否则DevOps将失败

“改变设计目标通常需要进行如此大规模的检修，最好只用一张新纸开始，”汉森说。“密钥服务器社区中几乎没有人认为有资格对代码库进行认真的改革。”

Hansen不相信全球密钥服务器网络是可以挽救的，开发人员建议“高风险”用户立即停止使用网络。然而，Hansen告诉Vice，如果没有SKS网络，PGP本身仍然可行。

在随后的洪水泛滥中，Gillmor表示过去曾有过缓解这一问题的建议，但“这些建议都没有取得成果。”

CNET：

据报道，美国海关和边境保护局暂停了分包商的网络攻击

“这是一团糟，很长一段时间都是一团糟，”吉尔莫尔补充道。“依赖于SKS密钥服务器的天真假设的OpenPGP生态系统的部分不再可靠，因为人们故意滥用这些密钥服务器。我们需要更多的防御性编程和更好的协议来思考如何以及何时检索OpenPGP证书。“

这些是最糟糕的黑客攻击，网络攻击，......看