Inundación de certificados en OpenPGP

Fecha de publicación 01/07/2019
Importancia
5 - Crítica
Recursos Afectados
  • Certificados OpenPGP alojados en la red de servidores de claves SKS.
Descripción

Robert J. Hansen y Daniel Kahn Gillmor, han comunicado múltiples vulnerabilidades en OpenPGP debido a un fallo en el diseño de "solo escritura" de los servidores de claves SKS que podrían provocar la denegación del servicio.

Solución
  • No utilizar la red de servidores de claves SKS para actualizar certificados OpenPGP. En su lugar, usar un servidor alternativo como, por ejemplo, keys.openpgp.org.
  • Eliminar del llavero los certificados públicos envenenados y adquirirlos, nuevamente, desde un canal confiable.
Detalle

SKS es vulnerable a ataques de inundación de certificados como consecuencia de su diseño de solo escritura. Esto podría permitir a un atacante envenenar certificados OpenPGP, añadiendo una gran cantidad de firmas "spam" que no pueden ser eliminadas. El envenenamiento hace que GnuPG no pueda importar certificados desde los servidores de claves SKS, provocando la denegación del servicio.

Encuesta valoración

Listado de referencias
SKS Keyserver Network Under Attack
dkg's blog - OpenPGP Certificate Flooding
[Actualización 03/07/2019] El ataque a la infraestructura de OpenPGP, consecuencias de las acciones de un “hijo de…”
Etiquetas