29Ekim Açık Kaynak açılış Akademik Bilişim 2012 Akademik Bilişim 2012 Uşak all Alt+Ctrl+Delete altlinux Anatolya installer apache apache2 arm AtlantiS autoindex backup bağlantı banana bash bash script belediye betik bind9 boot bootparametre böl cache canlicdrom cdrom centos CHKUSER clonezilla cron crontab çöp denizaltı denizaltı kablo Desteği destek Dil disket dizin şifreleme django djb dkim dns DNS sistemi Domain download drbl dvd e-posta eğitim eklenti EniXma eposta eQmail esxi ev ev almak fake fakemail feed ffmpeg find Firefox fortran free FreeBSD freenas ftp Gazze Genel Gentoo Getgnu.org gezegen git github gitweb Gmail gnupg Gökşin Akdeniz görev Görsel gpg grub grub2 günlük Güvenlik Hacker harddisk hizmet hosting id_rsa imap index indimail indir internet ipv4 ipv6 iso israil İşletim Sistemi kablo kernel kernellogo key komut konsol koruma lampp. httpd lilo link linux liste listeci listmanager live livecd LKD loader login logo mail mail hosting mailman mandriva-tr.org matrax Mint mirror mlmmj modül MTA multisite Müteahhit mx MySQL netinternet Netqmail network nfs nginx ngrok not.py online radyo opendkim openssl önyükleme özgür yazılım panel pano parola paste patch paylaşım pdf perl phpmyadmin pi plan Planet planetplanet plesk pop3 postfix proje proxy putty python qmail qmailtoaster Ras webserver Raspberry pi Raspberry Pi raspi rawdisk recovery remote repository resim resimler rss rsync rsyncd rsyncd etiketi s/qmail Saldırı Samba screen script senronizasyon server servis shell sistem Slackarm slackware Slackware slackware-live slackware.org.tr slackware arşiv httrack truva linux hatıralar slacky.eu sosyal ağ spf sql backup sqlite sqlite3 sqlite3 to wordpress ssh ssh_key ssh-key SSL ssl sertifika subversion sunucu svn swap swapfile syslinux system system images şifreleme takasfile Tatil Tavuk Teneke Kebabı Tenekede Tavuk thunderbird TightVNC tmux Tokat Kebabı tokat kebabı sobası etiketi Trash Trash-cli Truva Linux truvalinux Turkcell tuxweet Türkçe türkiye ubuntu UNIX uzak varnish veri Virtualbox vmware Vodafone vps Vsftp vsftpd Wampp web Web server web Sunucu webserver webserver Akıllı Tahta wget WINN Windows wordpress Wordpress wordpress multisite www xampp Xnest yansı yansılama yansılamak yapıştır yazmak Yedekleme Yemek zulüm

SKS Keyserver Network Under Attack

gpg anahtarlarını uzun sayılabilecek zamandır kullanıyorum.
Hatta bu amaçla Truva Linux sunucusunda bir sks keyserver oluşturdum.

http://keyserver.truvalinux.org.tr/

Bildiğim kadarı ile Türkiye 'de başkaca bir keyserver bulunmuyor.



Truva Linux sunucusunda bulunan sks-keyserver diğer keyserver havuzuna dahil değildir.
yani gpg ortak anahtar havuzundan key almıyor ve göndermiyor.
tamamen gpg key gönderen kişilere hizmet veriyor.

Bir kaç gündür gpg-keyserver üzerine araştırmalar yapmaktayım.

Okuduğumda üzüldüğüm bir kaç makaleye rast geldim.
bu makaleler gpg-key zehirlenmesinden bahsediyor.

key zehirlenmesi normalde varolmayan art niyetli kişiler tarafından yapılıyor.
Bana göre bir keyin aynı günde ve dakikada 55K kişi tarafından imzalanması pek olasılık dahilinde değil.
Okumak isterseniz makale -> https://dkg.fifthhorseman.net/blog/openpgp-certificate-flooding.html

sks keyserverlar yapıları gereği gönderiler public anahtarları yayınlamak üzere yapılandırılmış sunucular.
zehirlenmiş key havuza dahil olduğunda ilgili keyi silmek pek olası değil.
çünkü havuz vasıtası ile diğer key-serverlere aktarılıyor.

Daniel Kahn Gillmor ilgili makelesinde üzgün olduğunu ve key saldırısından kurtulabilmek için sadece
https://keys.openpgp.org/ adresinin kullanılmasını tavsiye ediyor.

https://keys.openpgp.org/ ilginç bir özelliği var.
diğer key-serverlar gibi gpg-keyi direkt olarak kabul etmiyor.
gpg-keye ait olan e-posta adresine link gönderilip doğrulama yapıldıktan sonra gpg-keyi sunucuya kabul ediyor.
gpg-keyinizi sunucudan silmek isterseniz gene e-posta üzerinden gönderilen link ile işlem yapmamız gerekiyor.
Bu oldukça güvenli.

Sks Keyserverde bu özellik bulunmamaktadır.

Daniel Kahn Gillmor 'a ait zehirlenmiş gpg-keyi deneme yapmak için indirdim.

keyi anahtarlığımdan silmek bile neredeyse 4 dakika sürdü.

Ekran çıktısı bu şekilde.
┌─[✗]─[caylak@rihanna]─[~]
└──╼ $time gpg --delete-keys C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg (GnuPG) 2.2.4; Copyright (C) 2017 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

pub ed25519/F20691179038E5C6 2019-01-19 Daniel Kahn Gillmor <dkg@fifthhorseman.net>

Bu anahtar, anahtar zincirinden silinsin mi? (e/H ya da y/N) e

real 3m54,288s
user 3m49,708s
sys 0m0,268s
┌─[caylak@rihanna]─[~]
└──╼ $

gpg-keyinizi yayınlamak için başka çözümlerde bulunmakta.

1- gpg-keyinizi web sunucunuz üzerinden yayınlamak.
2- gpg-keyinizi web sayfası üzerinden yayınlamak
2- gpg-keyinizi DNS server üzerinden yayınlamak.

Kısa zamanda bu yöntemleri kullanarak gpg-keyimi yayınlamayı düşünüyorum.

ilgili makaleler:

https://dkg.fifthhorseman.net/blog/openpgp-certificate-flooding.html
https://gist.github.com/rjhansen/67ab921ffb4084c865b3618d6955275f

https://comparite.ch/encryption-types

 
Labels: , , ,

Yorum Gönder

[blogger][facebook][disqus][spotim]

Author Name

İletişim Formu

Ad

E-posta *

Mesaj *

Blogger tarafından desteklenmektedir.