29Ekim Açık Kaynak açılış Akademik Bilişim 2012 Akademik Bilişim 2012 Uşak akgül all Alt+Ctrl+Delete altlinux Anatolya installer apache apache2 arm AtlantiS autoindex backup bağlantı ban banana bash bash script belediye betik bind9 boot bootloader bootparametre böl burg cache canlicdrom cdrom centos CHKUSER chrome clone clonezilla CloneZilla ile Remote Disk Clone işlemi cron crontab çöp dd denizaltı denizaltı kablo Desteği destek Dil Disk disk eklemek disket dizin şifreleme django djb dkim dns DNS sistemi docker Domain download drbl dvd e-posta eğitim eklenti EniXma eposta eQmail esxi ev ev almak fail2ban fake fakemail feed feedbro ffmpeg find Firefox format fortran free FreeBSD freenas ftp full backup Gazze Genel Gentoo Getgnu.org gezegen git github gitweb Gmail gnupg Gökşin Akdeniz görev Görsel gpg grub grub2 günlük Güvenlik Hacker harddisk hizmet hosting id_rsa imap index indimail indir internet ipv4 ipv6 iso israil İşletim Sistemi kablo KAMP kernel kernellogo kesin çözüm key klonlamak komut konsol koruma lampp. httpd lilo link linux liste listeci listmanager live livecd LKD loader login logo LVM mail mail hosting Mail-in-a-Box mailcow mailman mailserver mandriva-tr.org matrax Mint mirror mlmmj modül MTA multisite mustafa akgül Mustafa Akgül Özgür Yazılım Yaz Kampı. Abant İzzet Baysal Üniversitesi Müteahhit mx MySQL netinternet Netqmail network nfs nginx ngrok not.py online radyo opendkim openssl önyükleme özgür yazılım panel pano pardus parola paste patch paylaşım pdf perl pfsense pfsense full backup phpmyadmin pi plan Planet planetplanet plesk pop3 poste.io postfix postfixadmin proje proxy putty python qmail qmailtoaster randmap Ras webserver Raspberry pi Raspberry Pi raspi rawdisk recovery remote repository resim resimler robots.txt 401 rss rsync rsyncd rsyncd etiketi s/qmail Saldırı Samba screen script sendonly smtp server senronizasyon server servis shell sistem Slackarm slackware Slackware slackware-live slackware.org.tr slackware arşiv httrack truva linux hatıralar slacky.eu SMF SMF türkçe karakter problemi smtp sosyal ağ spam spf sql backup sqlite sqlite3 sqlite3 to wordpress ssh ssh_key ssh-key SSL ssl sertifika subversion sudo sunucu svn swap swapfile syslinux system system images şifreleme takasfile Tatil Tavuk Teneke Kebabı Tenekede Tavuk theme thunderbird TightVNC tmux Tokat Kebabı tokat kebabı sobası etiketi Trash Trash-cli Truva Linux truvalinux Turkcell tuxweet Türkçe türkiye ubuntu unban UNIX uzak varnish veri Virtualbox vmware Vodafone vps Vsftp vsftpd Wampp web web robot Web server web Sunucu webp webserver webserver Akıllı Tahta wget whitelist WINN Windows wordpress Wordpress wordpress multisite www xampp Xnest yansı yansılama yansılamak yapıştır yazmak Yedekleme Yemek zulüm

SKS Keyserver Network Under Attack

gpg anahtarlarını uzun sayılabilecek zamandır kullanıyorum.
Hatta bu amaçla Truva Linux sunucusunda bir sks keyserver oluşturdum.

http://keyserver.truvalinux.org.tr/

Bildiğim kadarı ile Türkiye 'de başkaca bir keyserver bulunmuyor.



Truva Linux sunucusunda bulunan sks-keyserver diğer keyserver havuzuna dahil değildir.
yani gpg ortak anahtar havuzundan key almıyor ve göndermiyor.
tamamen gpg key gönderen kişilere hizmet veriyor.

Bir kaç gündür gpg-keyserver üzerine araştırmalar yapmaktayım.

Okuduğumda üzüldüğüm bir kaç makaleye rast geldim.
bu makaleler gpg-key zehirlenmesinden bahsediyor.

key zehirlenmesi normalde varolmayan art niyetli kişiler tarafından yapılıyor.
Bana göre bir keyin aynı günde ve dakikada 55K kişi tarafından imzalanması pek olasılık dahilinde değil.
Okumak isterseniz makale -> https://dkg.fifthhorseman.net/blog/openpgp-certificate-flooding.html

sks keyserverlar yapıları gereği gönderiler public anahtarları yayınlamak üzere yapılandırılmış sunucular.
zehirlenmiş key havuza dahil olduğunda ilgili keyi silmek pek olası değil.
çünkü havuz vasıtası ile diğer key-serverlere aktarılıyor.

Daniel Kahn Gillmor ilgili makelesinde üzgün olduğunu ve key saldırısından kurtulabilmek için sadece
https://keys.openpgp.org/ adresinin kullanılmasını tavsiye ediyor.

https://keys.openpgp.org/ ilginç bir özelliği var.
diğer key-serverlar gibi gpg-keyi direkt olarak kabul etmiyor.
gpg-keye ait olan e-posta adresine link gönderilip doğrulama yapıldıktan sonra gpg-keyi sunucuya kabul ediyor.
gpg-keyinizi sunucudan silmek isterseniz gene e-posta üzerinden gönderilen link ile işlem yapmamız gerekiyor.
Bu oldukça güvenli.

Sks Keyserverde bu özellik bulunmamaktadır.

Daniel Kahn Gillmor 'a ait zehirlenmiş gpg-keyi deneme yapmak için indirdim.

keyi anahtarlığımdan silmek bile neredeyse 4 dakika sürdü.

Ekran çıktısı bu şekilde.
┌─[✗]─[caylak@rihanna]─[~]
└──╼ $time gpg --delete-keys C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg (GnuPG) 2.2.4; Copyright (C) 2017 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

pub ed25519/F20691179038E5C6 2019-01-19 Daniel Kahn Gillmor <dkg@fifthhorseman.net>

Bu anahtar, anahtar zincirinden silinsin mi? (e/H ya da y/N) e

real 3m54,288s
user 3m49,708s
sys 0m0,268s
┌─[caylak@rihanna]─[~]
└──╼ $

gpg-keyinizi yayınlamak için başka çözümlerde bulunmakta.

1- gpg-keyinizi web sunucunuz üzerinden yayınlamak.
2- gpg-keyinizi web sayfası üzerinden yayınlamak
2- gpg-keyinizi DNS server üzerinden yayınlamak.

Kısa zamanda bu yöntemleri kullanarak gpg-keyimi yayınlamayı düşünüyorum.

ilgili makaleler:

https://dkg.fifthhorseman.net/blog/openpgp-certificate-flooding.html
https://gist.github.com/rjhansen/67ab921ffb4084c865b3618d6955275f

https://comparite.ch/encryption-types

 
Labels: , , ,

Yorum Gönder

[blogger][facebook][disqus][spotim]

Author Name

İletişim Formu

Ad

E-posta *

Mesaj *

Blogger tarafından desteklenmektedir.