SKS Keyserver Network Under Attack

Değerli dost @caylakpenguen, yine ilginç bir konuya değinmiş. Dostumuz, bu kez, “SKS Keyserver Network Under Attack” başlıklı bir yazı ile GPG key gönderen kişilere hizmet veren bir uygulamayı tanıtmış. Bu yazıyı buraya aktarmayı gerekli gördük. Yazı, şöyle başlıyor: “GPG anahtarlarını uzun sayılabilecek zamandır kullanıyorum. Hatta bu amaçla Truva Linux sunucusunda bir sks keyserver oluşturdum. http://keyserver.truvalinux.org.tr/. Bildiğim kadarı ile Türkiye ‘de başkaca bir keyserver bulunmuyor. Truva Linux sunucusunda bulunan sks-keyserver diğer keyserver havuzuna dahil değildir. yani GPG ortak anahtar havuzundan key almıyor ve göndermiyor. Tamamen GPG key gönderen kişilere hizmet veriyor. Bir kaç gündür gpg-keyserver üzerine araştırmalar yapmaktayım. Okuduğumda üzüldüğüm bir kaç makaleye rast geldim. Bu makaleler gpg-key zehirlenmesinden bahsediyor. Key zehirlenmesi normalde varolmayan art niyetli kişiler tarafından yapılıyor.

“Bana göre bir keyin aynı günde ve dakikada 55K kişi tarafından imzalanması pek olasılık dahilinde değil. Okumak isterseniz makale: https://dkg.fifthhorseman.net/blog/openpgp-certificate-flooding.html sks keyserverlar yapıları gereği gönderilen public anahtarları yayınlamak üzere yapılandırılmış sunucular. Zehirlenmiş key havuza dahil olduğunda ilgili keyi silmek pek olası değil. Çünkü havuz vasıtası ile diğer key-serverlere aktarılıyor. Daniel Kahn Gillmor ilgili makelesinde üzgün olduğunu ve key saldırısından kurtulabilmek için sadece
https://keys.openpgp.org/ adresinin kullanılmasını tavsiye ediyor. https://keys.openpgp.org/ ilginç bir özelliği var. Diğer key-serverlar gibi gpg-keyi direkt olarak kabul etmiyor. gpg-keye ait olan e-posta adresine link gönderilip doğrulama yapıldıktan sonra gpg-keyi sunucuya kabul ediyor. gpg-keyinizi sunucudan silmek isterseniz gene e-posta üzerinden gönderilen link ile işlem yapmamız gerekiyor. Bu oldukça güvenli. Sks Keyserverde bu özellik bulunmamaktadır. Daniel Kahn Gillmor ‘a ait zehirlenmiş gpg-keyi deneme yapmak için indirdim. Keyi anahtarlığımdan silmek bile neredeyse 4 dakika sürdü. Ekran çıktısı bu şekilde:

GPG-keyinizi yayınlamak için başka çözümlerde bulunmakta.

1- gpg-keyinizi web sunucunuz üzerinden yayınlamak.
2- gpg-keyinizi web sayfası üzerinden yayınlamak
2- gpg-keyinizi DNS server üzerinden yayınlamak.

Kısa zamanda bu yöntemleri kullanarak gpg-keyimi yayınlamayı düşünüyorum. ilgili makaleler:

https://dkg.fifthhorseman.net/blog/openpgp-certificate-flooding.html
https://gist.github.com/rjhansen/67ab921ffb4084c865b3618d6955275f

caylak.truvalinux.org.tr

No comments yet.

Bir cevap yazın

This site uses Akismet to reduce spam. Learn how your comment data is processed.