SKS Keyserver中毒对沙巴体育的影响
2019年7月3日

SKS Keyserver网络一直是证书中毒的受害者 攻击 最近。用于存储库同步的OpenPGP验证受到保护 反对攻击。但是,我们的用户可能会在使用GNUPG时受到影响 直。在这篇文章中,我们希望很快总结攻击是什么, 我们确实为保护沙巴体育而不是它,你能做些什么来保护你的 系统。

证书中毒攻击滥用三个事实:OpenPGP键可以 包含无限数量的签名,任何人都可以追加签名 对于任何一个关键并且没有办法区分合法签名 从垃圾。攻击者正在附加大量垃圾签名 到存储在SKS孔服务器上的键,导致它们变得非常大而且原因 GNUPG客户端的严重性能问题取而代之。

攻击者毒害了少数高级OpenPGP人的钥匙 在SKS exyservers上,包括一个沙巴体育开发人员。此外,这是 目前的期望是,问题不会很快解决问题,所以它 似乎有合理的是,更多的钥匙可能会在未来影响。我们推荐 用户不从SKS KeyServer网络获取或刷新键(这包括 别名如 keys.gnupg.net.) 暂且。 Gnupg上游是 已经履行了客户端的对策,他们可以预期 一旦释放,就会进入沙巴体育。

沙巴体育主要基础设施并未受到攻击的影响。不久 报告后,我们已禁用从SKS获取开发人员密钥更新 今天我们已禁用公钥上传访问,以防止存储的密钥 在服务器上被恶意第三方中毒。

用于验证沙巴体育 Ebuild存储库的Gemato工具 w 默认。在正常操作期间它应该 不受这种漏洞的影响。 Gemato有一个Keyserver回归 如果w失败可能很脆弱,但是Gemato在孤立的情况下运作 将阻止中毒键导致永久性损害的环境 你的系统。在最坏的情况下; 沙巴体育存储库同步将慢慢挂起。

webrsync和delta-webrsync方法也支持Gemato,但它是 默认情况下不使用。要使用它,您需要删除 p要么tage_gpg_dir./etc/p要么tage/make.conf. (如果它存在)并放置 以下值 /etc/p要么tage/repos.conf.:

[沙巴体育]
sync-type = webrsync
sync-webrsync-delta = true#false使用plain webrsync
sync-webrsync-usiver-signature = true

之后,打电话 emerge --sync. 要么 emaint sync --repo gentoo 将使用 GEMATO密钥管理而不是脆弱的遗产方法。默认为 将在未来的释放过程中更改。

直接使用Gnupg时,沙巴体育开发人员和服务密钥可以 通过:通过牢固地获取(和刷新):

  1. Web键目录,例如 gpg - leat-key developer@沙巴体育.要么g.
  2. 沙巴体育 Keyserver, 例如 GPG - KeyServer HKPS://keys.沙巴体育.要么g. ...
  3. 关键捆绑,例如: 活跃的devs., 服务密钥

请注意,上述服务仅提供特定的键 沙巴体育。我们的Keyserver上没有找到属于其他人的键。 如果您正在寻找它们,您可能会尝试 keys.openpgp.要么g. keyserver不容易受到攻击, 以剥离所有签名和未经验证的UID的成本。