Noma’lum shaxslar OpenPGP sertifikatlarini o’zgartirmoqda.
O’zgartirilgan sertifikatni yuklashga urinayotganda OpenPGP o’rnatish muvaffaqiyatsiz tugadi.
Noma’lum shaxslar ikki asosiy hamjamiyat a’zolarining OpenPGP raqamli sertifikatlariga hujum qilishdi, natijada o’zgartirilgan sertifikatlar shifrlash kalit serveri tarmog’iga oqib tushdi. Bunday sertifikatni yuklashga urinish OpenPGP o’rnatishlarining ishdan chiqishiga olib keladi. Hujum o’tgan oy oxirida sodir bo’lgan. Hujumchilar OpenPGP protokolidagi kamchilikdan foydalanib, ikki dasturchi – Robert J. Xansen va Jamiyat tomonidan “rjh” va “dkg” nomi bilan tanilgan Daniel Kan Gillmorning sertifikatlarini buzishdi.
Xansenning so’zlariga ko’ra, hujumchilar faqat ikkita sertifikat bilan to’xtab qolishlariga ishonish uchun hech qanday sabab yo’q. “Hujumning soddaligi va keng ommaga e’lon qilingan muvaffaqiyatini hisobga olsak, boshqa sertifikatlar tez orada o‘zgartirilishini taxmin qilish mumkin”, — deya ta’kidladi dasturchi.
Xansen tushuntirganidek, na shifrlash kalitlari server tarmog’i, na OpenPGP ishchi guruhi OpenPGP protokolidagi zaiflikni tuzatish chiqarilmaguncha hujumlarga qarshi tura olmaydi, bu esa kelajakda nashrlarga kiritiladi.
Shifrlash kaliti serveri dasturiy ta’minoti va tarmog’i ommaviy sertifikatlarni topish va tarqatish uchun 30 yil oldin yaratilgan. Ma’lum bo’lishicha, asosiy serverlar jiddiy zaiflikka qarshi himoyasiz: ular sertifikat ma’lumotlarini o’chirmaydi. Aslini olganda, asosiy server tarmog’i hamma uchun ochiq bo’lgan katta fayl serveridir.
Bu muammo o’nlab yillar davomida ma’lum, ammo texnik qiyinchiliklar tufayli u hal etilmagan. Masalan, SKS (Synchronizing Key Server) server dasturi OCaml da faqat kontseptsiya isboti sifatida yozilgan va tugallanmagan. Asosiy server tarmog’i arxitekturasini o’zgartirish hamma narsani noldan qayta qurishni talab qiladi, deb tushuntirdi Xansen.
Ishlab chiquvchining so’zlariga ko’ra, ommaviy sertifikatlar ma’lum bir shaxsga tegishli ekanligini tasdiqlaydi, ammo OpenPGP spetsifikatsiyasi sertifikatga biriktirilishi mumkin bo’lgan imzolar sonini cheklamaydi.
«Keyserver tarmog’i 150 000 imzoga ega sertifikatlar bilan ishlay oladi. GnuPG esa boshqa tomondan ishlay olmaydi. GnuPG har safar bunday sertifikatga duch kelganda, dastur ishlashni to’xtatadi», deb ta’kidladi dasturchi.
