RU EN
SKY-FRAUD.RU - Carding forum | Кардинг форум
Добро пожаловать на SKY-FRAUD.RU, после регистрации , вам будут доступны все разделы форума.

Вернуться   SKY-FRAUD.RU > Проект NETSKY > СМИ о нас > почему сети доверия pgp беспомощны
 
Adv. info:
Основные домены форума: SKY-FRAUD.RU | S-FRAUD.RU              TOR: bcbm4y7yusdxthg3.onion              Monopoly.ms - Russian hacking community
СМИ о нас Интересные новости, касающиеся кардинг- и других тематик.
Ежедневное обновление и переводы зарубежных новостей.

UAS section 1
FE051217
Advert 3
Ответ
 
Опции темы Опции просмотра
Старый 30.09.2013, 21:59   #1
ScrugMacDac$
Banned
 
Аватар для ScrugMacDac$
 
ScrugMacDac$ вне форума
Регистрация: 02.09.2013
Сообщений: 310
По умолчанию почему сети доверия pgp беспомощны

Неоднократно поднимались вопросы, касающиеся недостатков сетей доверия OpenPGP. В частности, звучали мнения о необходимости отказаться от их использования и сверять ключи только по отпечаткам из-за ненадёжности этой схемы аутентификации. Помимо этого, участие в сетях доверия приводит к утечке массы метаданных о личности пользователя, социальных связях, круге его текущих контактов, что подрывает его анонимность. Ради этого некоторые пользователи создают анонимные ключи, а также не обмениваются ключами через открыто доступные серверы ключей. Схожие проблемы начали волновать одного из ведущих разработчиков Tor-браузера.

Когда Майк Перри сделал объявление о смене своего PGP-ключа, он отметил своё негативное мнение о сетях доверия. Позднее, он дал разъяснение своей позиции по этому вопросу, перевод которого имеет смысл привести полностью.

Why the Web of Trust Sucks

Сети доверия имеют три основные проблемы:

1. Они приводят к утечке информации.

Это включает в себя утечку метаданных из графа социальных связей, времени и месте взаимодействия, а в некоторых случаях и реального имени пользователя. Разумеется, эти проблемы заслуживают отдельной большой дискуссии.

2. Они содержат множество точек, каждая из которых способна привести к полному краху.

Поскольку по умолчанию GPG использует кратчайший взвешенный путь установления доверия к ключу и кроме этого ничто не аутентифицирует полный граф сети доверия, то это приводит к тому, что каждый участник прочного набора выступает в роле сертификационного или удостоверяющего центра (Certification Authority — CA), особенно для ключей, которые лишь слабо связаны с прочным набором. Стоит вам скомпрометировать хотя бы один из этих ключей, как вы сможете использовать его для заверения любого ключа на любое выбранное вами имя.

Чтобы понять в какой мере и почему это является проблемой, пройдёмся по типичному сценария взаимодействия в сети доверия.

Предположим, существует GPG пользователь Эдвард, который хочет отправить шифрованное сообщение журналисту, с которым он никогда не встречался ранее, по поводу злоупотреблений гигантского масштаба, творящихся по месту его работы. Назовём этого журналиста, допустим Гленн. Ради нашего примера, представим, что было бы, если бы они активно участвовали в сети доверия.

Эдвард также знает, что системные администраторы с его работы очень изощрённы и перехватывают все его шифрованные коммуникации с целью атаки подмены "человеком посредине" (MITM) и получения таким образом доступа к содержимому сообщений. Эдвард решает загрузить ключ Глена с сервера subkeys.pgp.net и предоставляет gpg-клиенту возможность определить уровень доверия к ключу Глена.

Но системные администраторы сетей на его рабочем месте уже предусмотрели это. На этот случай у них заготовлены скомпрометированные сертификаты HTTPS от центров аутентификации (CA), также как и скомпрометирована некоторая часть высокодоверяемых ключей из сети доверия. Назовём один из этих GPG ключей именем Роджер.

Теперь, как только Эдвард начинает загружать ключ для связи с Гленом, сисадмины подменяют его на подложный ключ, сгенерированный на лету. Сисадмины также подписывают подложный ключ скомпрометированным ключом Роджера. Они также блокируют загрузку для Эдварда подлинного ключа Глена.

GPG-клиент Эдварда доверяет некоторым ключам. Он определяет, что один из его доверяемых ключей, с именем Брюс7, имеет полное доверие к ключу Роджера (к его скомпрометированному варианту).

Затем GPG-клиент Эдварда вычисляет полностью доверяемый путь от Брюса до Роджера и от Роджера до фальшивого Глена, что позволит системному администратору незамедлительно читать всю переписку.

Для Эдварда игра окончена :/.

Такой сценарий возможен против произвольных ключей, используя любой из ключей с сильным набором доверия. Эффективно функционируя в режиме единственной точки отказа, такие ключи работают в режиме CA для сети доверия, подрывая её полезность как независимого механизма аутентификации.

3. Сети доверия плохо масштабируются в сценарии глобальной популяции.

Размер хранилища для поддержания сети доверия со всем миром был бы огромным. Ради того уровня аутентификации, который она способна предоставить, просто не имеет смысла тратить столько ресурсов по количеству носителей информации.

Что делать вместо этого?

Я считаю, что следует вернуться назад и подумать, какую цель пытаются выполнить сети доверия. Кроме того, что это некий глобальный конкурс популярности и диковинный квази-религиозный хакерский ритуал, это ещё и аутентификационный механизм для получаемых вами ключей.

Есть множество способов использования многопутевой аутентификации, не страдающих от недостатков сетей доверия*.

Несколько примеров:

1. Каждый раз, когда вы загружаете ключ GPG, сделайте несколько контрольных перезагрузок через сеть Tor с разными цепочками этой сети — это поможет вам убедиться, что каждый раз вы получаете одинаковый ключ.

2. Каждый раз я проверяю подпись на присылаемом мне по почте сообщении, если сообщение приходит на адрес, который не является моим (например через общедоступные списки почтовой рассылки), то мой почтовый клиент добавляет немного доверия к этому ключу (поскольку каждое новое открыто опубликованное письмо с электронной подписью по факту своей загрузки отражает наблюдаемую картину ключа через потенциально различные сетевые пути, которые должны быть доступны различным людям, включая самого отправителя).

3. Каждый раз перед тем как я шифрую почту на какой-либо ключ, я проверяю на серверах, что ключ для этого адреса не поменялся (в стиле того, как проверяется в SSH/TOFU).

4. После загрузки ключа я проверяю, что связь между данным ключом и адресом электронной почты не поменялась на множестве серверов ключей, TLS сертификаты которых заверены независимо и не зашиты непосредственно в исходники самого пакета GPG (многопутевая криптографическая аутентификация в стиле Perspectives/Notary).


* Сеть доверия сама по себе технически позволяет использовать многопутевую аутентификацию, но только в том случае, если вы позаботитесь о том, чтобы все множественные пути обязательно существовали. К сожалению, полностью ничто не аутентифицирует всю сеть доверия, так что её невозможно использовать, чтобы убедиться, что множественные пути к ключу действительно существуют и являются правильными.



• Author:© 2013 Mike Perry.
• Перевод © 2013 unknown
 
Ответить с цитированием

Advertising \ Реклама
Sell RDP/Продажа дедиков/RDP SHOP #1
Ссылки для доступа к сервису: UAS-STORE.RU \ U-A-S.RU


HQ DUMPS by Donald Trump
Ссылки для доступа к сервису: TRUMP-DMPS.RU


Sell RDP/Продажа дедиков/RDP SHOP #1
Ссылки для доступа к сервису: UAS-STORE.RU \ U-A-S.RU


HQ DUMPS by Donal Trump
Ссылки для доступа к сервису: TRUMP-DMPS.RU


Sell RDP/Продажа дедиков/RDP SHOP #1
Ссылки для доступа к сервису: UAS-STORE.RU \ U-A-S.RU


HQ DUMPS by Donal Trump
Ссылки для доступа к сервису: TRUMP-DMPS.RU



Ответ
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы
Опции просмотра
Ваши права в разделе
no Вы не можете создавать новые темы
no Вы не можете отвечать в темах
no Вы не можете прикреплять вложения
no Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
нужна помощь по вибаву иж одного сайта, за помощь дам 150 usd saniok Вопросы новичков 1 06.01.2015 03:15
Британская банковская ассоциация разрабатывает систему аварийного оповещения SkyNet СМИ о нас 0 25.09.2014 04:10
В помощь начинающему стаферу ScrugMacDac$ Статьи 0 02.09.2013 07:33


Forum partners: https://monopoly.ms