Çaylakpenguen Blog

SKS Keyserver Network Under Attack

gpg anahtarlarını uzun sayılabilecek zamandır kullanıyorum.
Hatta bu amaçla Truva Linux sunucusunda bir sks keyserver oluşturdum.

http://keyserver.truvalinux.org.tr/

Bildiğim kadarı ile Türkiye ‘de başkaca bir keyserver bulunmuyor.

Truva Linux sunucusunda bulunan sks-keyserver diğer keyserver havuzuna dahil değildir.
yani gpg ortak anahtar havuzundan key almıyor ve göndermiyor.
tamamen gpg key gönderen kişilere hizmet veriyor.

Bir kaç gündür gpg-keyserver üzerine araştırmalar yapmaktayım.

Okuduğumda üzüldüğüm bir kaç makaleye rast geldim.
bu makaleler gpg-key zehirlenmesinden bahsediyor.

key zehirlenmesi normalde varolmayan art niyetli kişiler tarafından yapılıyor.
Bana göre bir keyin aynı günde ve dakikada 55K kişi tarafından imzalanması pek olasılık dahilinde değil.
Okumak isterseniz makale -> https://dkg.fifthhorseman.net/blog/openpgp-certificate-flooding.html

sks keyserverlar yapıları gereği gönderiler public anahtarları yayınlamak üzere yapılandırılmış sunucular.
zehirlenmiş key havuza dahil olduğunda ilgili keyi silmek pek olası değil.
çünkü havuz vasıtası ile diğer key-serverlere aktarılıyor.

Daniel Kahn Gillmor ilgili makelesinde üzgün olduğunu ve key saldırısından kurtulabilmek için sadece
https://keys.openpgp.org/ adresinin kullanılmasını tavsiye ediyor.

https://keys.openpgp.org/ ilginç bir özelliği var.
diğer key-serverlar gibi gpg-keyi direkt olarak kabul etmiyor.
gpg-keye ait olan e-posta adresine link gönderilip doğrulama yapıldıktan sonra gpg-keyi sunucuya kabul ediyor.
gpg-keyinizi sunucudan silmek isterseniz gene e-posta üzerinden gönderilen link ile işlem yapmamız gerekiyor.
Bu oldukça güvenli.

Sks Keyserverde bu özellik bulunmamaktadır.

Daniel Kahn Gillmor ‘a ait zehirlenmiş gpg-keyi deneme yapmak için indirdim.

keyi anahtarlığımdan silmek bile neredeyse 4 dakika sürdü.

Ekran çıktısı bu şekilde.

gpg-keyinizi yayınlamak için başka çözümlerde bulunmakta.

1- gpg-keyinizi web sunucunuz üzerinden yayınlamak.
2- gpg-keyinizi web sayfası üzerinden yayınlamak
2- gpg-keyinizi DNS server üzerinden yayınlamak.

Kısa zamanda bu yöntemleri kullanarak gpg-keyimi yayınlamayı düşünüyorum.

ilgili makaleler:

https://dkg.fifthhorseman.net/blog/openpgp-certificate-flooding.html
https://gist.github.com/rjhansen/67ab921ffb4084c865b3618d6955275f

https://comparite.ch/encryption-types

 

( Toplamda 66 , bugün 1 kez ziyaret edilmiştir )

caylakpenguen

Truva Linux takımıyla 2006'da tanışan "Çaylak Penguen" -BASH- betiklerine bayılır. Truva'nıñ çekirdek derleme işleri ile çalışan cd tasarımıyla uğraşmaktadır.

1 comment

Bir Cevap Yazın

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Web Hosting Sponsorumuz

E-Posta Listelerimiz

Web Hosting Sponsorumuz

E-Posta Listelerimiz

Web Hosting Sponsorumuz

E-posta Listelerimiz

Mars on Earth Project

Dünyada ki Mars Projesi
Mars on Earth Project – Dünyadaki Mars Projesi

FreeBSDRocks Qmail

Return to Top ▲Return to Top ▲
%d blogcu bunu beğendi: