OpenPGP 項目的兩位知名開發者 Robert J. Hansen (rjh) 和 Daniel Kahn Gillmor(dkg)過去一周成為證書中毒攻擊的受害者。未知攻擊者利用 OpenPGP 協議本身的缺陷給 rjh 和 dkg 的 OpenPGP 證書下毒。導入中毒版證書會破壞存在缺陷的 OpenPGP。中毒證書已經存在於 SKS Keyserver Network 中,沒有理由認為攻擊者在對兩個證書下毒后就停止攻擊。dkg 稱 Tor 項目的多個證書也遭到攻擊。這一攻擊無法在短期內被 SKS keyserver 或 OpenPGP Working Group 減輕影響,未來發布的 OpenPGP 將會包含一些削弱攻擊的方法,但目前沒有時間表。權宜之計是不要從 SKS Keyserver Network 提取數據。Keyserver 使用的軟體是一名研究員使用 OCaml 語言為自己的博士論文開發的,社區缺乏理解其演算法或該語言的人才。軟體沒人維護,也沒有人有資格去修改代碼。
via Solidot
[admin
]
來源:OsChina
連結:https://www.oschina.net/news/107947/sks-keyserver-network-attack
SKS Keyserver Network 遭到「中毒」攻擊已經有264次圍觀
