, 12 tweets, 3 min read Read on Twitter
Lo que está pasando con el ataque a OpenPGP es verdaderamente grave, un desastre en palabras de los afectados que mantienen el protocolo. Robert J. Hansen, que ha comunicado el incidente, ha calificado literalmente de “hijo de puta” al atacante. Más información abajo:
En la red de pares de certificados públicos, donde cualquiera puede encontrar la clave pública PGP de una persona, no se borra jamás nada, nunca. Esto se decidió así por diseño para resistir a los potenciales ataques de gobiernos que quisieran censurar.
Cualquiera puede firmar un cert público, dando fe de que pertenece a la persona que dice ser. Y lo puede firmar un número indeterminado de veces, alegando con su propia firma que el cert pertenece a quien dice. Esto añade una firma de ciertos bytes al cert para siempre
El ataque consiste en firmar miles de veces (hasta 150.000 llevan) los certificados públicos y subirlos a la red de pares de certificados, donde nunca serán borrados. En la práctica, los certificados válidos comienzan a pesar varias decenas de megas. Aquí un gif del ataque.
El problema es que en estas circunstancias, Enigmail y cualquier implementación OpenPGP simplemente deja de funcionar o tarda muchísimo con certs tan pesados (varias decenas de megas ralentiza en decenas de minutos), pudiendo inutilizar el keyring a efectos prácticos.
¿Y por qué no se arregla? El sistema de sincronización del sistema de red de (Synchronizing Key Server) es código libre sí, pero está desmantenido en la práctica. Fue creado como una tesis de Yaron Minsky en lenguaje OCaml. Nadie sabe cómo va realmente,
Y el fallo es que realmente esto es una funcionalidad, no un fallo. Cualquiera debe poder firmar certificados OpenPGP, y estos deben replicarse libremente sin jamás borrar nada entre servidores. Y el software debería poder procesarlo.
Están reportando soluciones, como no refrescar las claves afectadas y otras mitigaciones, pero el fallo es de gran calado. Ataque sencillo y "funcionalidad" de diseño. Esto puede reventar por los aires la imagen (ya dañada de poco "usable") de OpenPGP.
¿Y lo peor? Pues los paquetes de repositorios de software de distribuciones, que están firmados con OpenPGP. Si comienzan a atacar a estos, la actualización de software desde distribuciones puede volverse muy lenta e inusable.
Así que efectivamente, estamos ante un grave problema para OpenPGP, y la comunidad de software en general que confía en actualizar sus paquetes de forma confiable. Estaremos atentos porque no pinta bien.
Por cierto, tienes más información aquí: gist.github.com/rjhansen/67ab9…
Bueno, aquí está un poco más desarrollado el asunto. Atentos a las conclusiones. empresas.blogthinkbig.com/el-ataque-a-la…
Missing some Tweet in this thread?
You can try to force a refresh.

Like this thread? Get email updates or save it to PDF!

Subscribe to Sergio de los Santos
Profile picture

Get real-time email alerts when new unrolls are available from this author!

This content may be removed anytime!

Twitter may remove this content at anytime, convert it as a PDF, save and print for later use!

Try unrolling a thread yourself!

how to unroll video

1) Follow Thread Reader App on Twitter so you can easily mention us!

2) Go to a Twitter thread (series of Tweets by the same owner) and mention us with a keyword "unroll" @threadreaderapp unroll

You can practice here first or read more on our help page!

Follow Us on Twitter!

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just three indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3.00/month or $30.00/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal Become our Patreon

Thank you for your support!