Çaylakpenguen Blog

SKS Keyserver Network Under Attack

gpg anahtarlarını uzun sayılabilecek zamandır kullanıyorum.
Hatta bu amaçla Truva Linux sunucusunda bir sks keyserver oluşturdum.

http://keyserver.truvalinux.org.tr/

Bildiğim kadarı ile Türkiye ‘de başkaca bir keyserver bulunmuyor.

Truva Linux sunucusunda bulunan sks-keyserver diğer keyserver havuzuna dahil değildir.
yani gpg ortak anahtar havuzundan key almıyor ve göndermiyor.
tamamen gpg key gönderen kişilere hizmet veriyor.

Bir kaç gündür gpg-keyserver üzerine araştırmalar yapmaktayım.

Okuduğumda üzüldüğüm bir kaç makaleye rast geldim.
bu makaleler gpg-key zehirlenmesinden bahsediyor.

key zehirlenmesi normalde varolmayan art niyetli kişiler tarafından yapılıyor.
Bana göre bir keyin aynı günde ve dakikada 55K kişi tarafından imzalanması pek olasılık dahilinde değil.
Okumak isterseniz makale -> https://dkg.fifthhorseman.net/blog/openpgp-certificate-flooding.html

sks keyserverlar yapıları gereği gönderiler public anahtarları yayınlamak üzere yapılandırılmış sunucular.
zehirlenmiş key havuza dahil olduğunda ilgili keyi silmek pek olası değil.
çünkü havuz vasıtası ile diğer key-serverlere aktarılıyor.

Daniel Kahn Gillmor ilgili makelesinde üzgün olduğunu ve key saldırısından kurtulabilmek için sadece
https://keys.openpgp.org/ adresinin kullanılmasını tavsiye ediyor.

https://keys.openpgp.org/ ilginç bir özelliği var.
diğer key-serverlar gibi gpg-keyi direkt olarak kabul etmiyor.
gpg-keye ait olan e-posta adresine link gönderilip doğrulama yapıldıktan sonra gpg-keyi sunucuya kabul ediyor.
gpg-keyinizi sunucudan silmek isterseniz gene e-posta üzerinden gönderilen link ile işlem yapmamız gerekiyor.
Bu oldukça güvenli.

Sks Keyserverde bu özellik bulunmamaktadır.

Daniel Kahn Gillmor ‘a ait zehirlenmiş gpg-keyi deneme yapmak için indirdim.

keyi anahtarlığımdan silmek bile neredeyse 4 dakika sürdü.

Ekran çıktısı bu şekilde.

gpg-keyinizi yayınlamak için başka çözümlerde bulunmakta.

1- gpg-keyinizi web sunucunuz üzerinden yayınlamak.
2- gpg-keyinizi web sayfası üzerinden yayınlamak
2- gpg-keyinizi DNS server üzerinden yayınlamak.

Kısa zamanda bu yöntemleri kullanarak gpg-keyimi yayınlamayı düşünüyorum.

ilgili makaleler:

https://dkg.fifthhorseman.net/blog/openpgp-certificate-flooding.html
https://gist.github.com/rjhansen/67ab921ffb4084c865b3618d6955275f

( Toplamda 34 , bugün 1 kez ziyaret edilmiştir )

caylakpenguen

Truva Linux takımıyla 2006'da tanışan "Çaylak Penguen" -BASH- betiklerine bayılır. Truva'nıñ çekirdek derleme işleri ile çalışan cd tasarımıyla uğraşmaktadır.

1 comment

SKS Keyserver Network Under Attack | get GNU için bir cevap yazın Cancel reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Web Hosting Sponsorumuz

E-Posta Listelerimiz

FreeBSDRocks Qmail

Web Hosting Sponsorumuz

Return to Top ▲Return to Top ▲