В Сети обнаружены отравленные сертификаты OpenPGP

В последнюю неделю июня в результате атаки, использовавшей дефект протокола OpebPGP, в сеть сервера ключей попали отравленные сертификаты двух авторитетных участников сообщества OpenPGP — Роберта Хансена (Robert J. Hansen) и Дэниела Гилмора (Daniel Kahn Gillmor), известных под никами rjh и dkg.

Любой, кто попытается импортировать отравленные сертификаты по всей вероятности сломает установленное у себя ПО OpenPGP. А написанное три десятилетия назад ПО Synchronizing Key Server (SKS) не позволяет удалять информацию о сертификатах.

По мнению Хансена, учитывая простоту атаки, нет оснований полагать, что злоумышленник остановится на отравлении всего двух сертификатов, за ними скоро последуют другие. Он также считает, что проблема останется актуальной достаточно долго, хотя некоторые попытки её решения могут быть предприняты с выходом следующего релиза OpenPGP.

Если злоумышленник выгрузит в сеть отравленный сертификат вендора, он будет загружен, когда системный администратор обновит свой набор ключей из сети сервера ключей, что блокирует дальнейшие апдейты из-за невозможности проверить подлинность загруженного пакета.

«Даже загрузка сертификата поставщика и его повторный импорт бесполезны, потому что GnuPG захлебнется, пытаясь импортировать новый сертификат. Нетрудно представить, как мотивированные противники могут использовать это против компьютерной сети на основе Linux», — отметил Хансен.

Тем, кто знает, какой сертификат отравлен, рекомендуется попытаться удалить его, поскольку это может восстановить работоспособность OpenPGP, а затем получить чистую копию сертификата и импортировать её. Остальным следует получить список всех идентификаторов сертификатов, полностью удалить цепочки ключей, а затем восстановить их с нуля, используя заведомо исправные копии публичных сертификатов.