攻击PGP密钥服务器表现出绝望的情况
密钥服务器是PGP基础设施的基础。如果您没有直接与密钥所有者联系,他们会为您提供与第三方加密通信或检查其数字签名的必要密钥。但是,由PGP发烧友驱动的SKS密钥服务器网络目前正在经历一场从根本上挑战其未来运营的攻击。
背景是一个众所周知的问题,但从未被修复过:SKS密钥服务器很容易被滥用于各种垃圾邮件。为此,垃圾邮件发送者只需要反复签名密钥并将其移动到其中一个服务器。罗伯特·汉森解释的很清楚:“想象一下,Dropbox的允许汤姆,迪克和哈里不仅存储在您的Dropbox公共文件夹的任何数据,但它会让你甚至无法删除这些垃圾。”
签名垃圾邮件
具体来说,不明身份的人提供了汉森和丹尼尔卡恩吉尔莫的钥匙,总共有超过十万个签名。密钥服务器本身很清楚。但像GnuPG这样的各种程序吞噬了怪物键并变得无法使用。任何其他键都可以随时重复整个过程。
最内圈的两个集中关注,甚至OpenPGP的活动家,平局的情况非常惨淡的景象:“此刻,我不认为可以拯救世界密钥服务器网络”的占汉森,甚至在关键环境建议使用SKS的立即设置服务器。
不需要的服务器软件
这种宿命论源于对看似无望失去的情况的不懈分析:基本问题多年来一直为人所知,并且从未得到解决。因为它不是一个bug,而是预期的密钥服务器设计的直接结果,它旨在允许任何人发布密钥然后删除它们(不,它不是区块链,而是......;)。说:使用一些补丁无法消除问题。
此外,“同步密钥服务器”(SKS)软件的核心是用外来编程语言OCaml的非常特殊的方言编写的。它是作为博士论文的一部分编写的,不再保留。密钥服务器社区中的任何人都不敢认真修改此代码。Hansen在他的摘要SKS Keyserver Network Under Attack中更详细地解释了复杂的情况。
解决方法
一个小小的希望是OpenPGP密钥服务器项目,该项目于几周前正式启动。这是以明智的远见,明确的方式完成的,并采用了信任网的设计。服务器keys.openpgp.org不存储来自第三方的任何签名,这给运营商带来了很多批评,但现在允许第一个解决方法。
标签: PGP密钥服务器