如果您是使用 PGP 憑證來保護電子郵件交換或驗證軟體包真實性的人之一,請知道您面臨著一個大問題。事實上,不明身份的人已經對世界上部署和使用最多的「同步金鑰伺服器」(SKS)類型的 PGP 金鑰伺服器造成了致命的打擊。 SKS 伺服器儲存 PGP 憑證的公鑰,並使其像目錄一樣可用,具有索引和搜尋引擎。這些伺服器創建於 20 世紀 90 年代,彼此同步並永久儲存資料:密鑰一旦上傳,就無法刪除。這個想法是為了對抗可能的政府操縱。
導致加密軟體當機的垃圾郵件
由於很難驗證公共憑證的真實性,因此熟悉其所有者的人可以添加其加密簽名作為保證,從而在使用者之間創建信任網路。但這種非常開放和集體的運作只是遭受了無法挽回的攻擊。有人產生了一個災難性的想法,在兩位著名 OpenPGP 開發者 Robert J. Hansen 和 Daniel Kahn Gillmor 的公鑰中添加數萬個簽名。結果:他們的公鑰現在無法使用,因為它們使下載它們的加密軟體(例如 GnuPG 或 Enigmail)崩潰。它們實在是太笨重了。
不幸的是,這個問題是無法克服的,因為它與 SKS 伺服器的設計有著內在的連結。垃圾郵件公鑰無法被刪除,這種極為簡單的攻擊也無法被阻止。因此,其他人也可能會出現此問題。此外,SKS 伺服器的程式碼無法修改,因為它很舊並且是用一種無人知曉的語言編寫的。這就是為什麼兩名受害者認為這就是故事的結局。
「我不相信全球密鑰伺服器網路 [SKS] 能夠被拯救。高風險用戶應立即停止使用密鑰伺服器網路[SKS]”,羅伯特·J·漢森(Robert J. Hansen)估計,部落格文章。「這很混亂,而且持續了很長時間。 OpenPGP 生態系統中依賴 SKS 金鑰伺服器天真的假設的部分不能再使用,因為使用者故意濫用這些金鑰伺服器。我們需要一個更具防禦性的系統和更好的協議來確定何時以及如何檢索 OpenPGP 憑證。,埃克里特,丹尼爾·卡恩·吉爾莫這個角色。
幸運的是,有新技術可用
不過,這種情況其實並不令人意外。一年前,GnuPG 的開發者 Werner Koch 也曾以這種方式收到垃圾郵件,但等級較低(少於 5000 個簽名)。目前垃圾郵件的數量是空前的,最重要的是,對於相關軟體來說是致命的。幸運的是,有一個出路,它被稱為“keys.openpgp.org”。這是新一代的金鑰伺服器,比 SKS 伺服器更不易受到攻擊,並且更尊重個人資料的保護。證書驗證是透過電子郵件地址完成的,而不是透過簽名。這可以防止垃圾郵件攻擊。不過,這項技術上個月才推出,因此可能並非每次都有效。但它的存在就已經很好了。因此保存 PGP 加密。
來源:副