Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Inundación de certificados en OpenPGP

Fecha de publicación: 01/07/2019

Importancia: Crítica

Recursos afectados:

  • Certificados OpenPGP alojados en la red de servidores de claves SKS.

Descripción:

Robert J. Hansen y Daniel Kahn Gillmor, han comunicado múltiples vulnerabilidades en OpenPGP debido a un fallo en el diseño de "solo escritura" de los servidores de claves SKS que podrían provocar la denegación del servicio.

Solución:

  • No utilizar la red de servidores de claves SKS para actualizar certificados OpenPGP. En su lugar, usar un servidor alternativo como, por ejemplo, keys.openpgp.org.
  • Eliminar del llavero los certificados públicos envenenados y adquirirlos, nuevamente, desde un canal confiable.

Detalle:

SKS es vulnerable a ataques de inundación de certificados como consecuencia de su diseño de solo escritura. Esto podría permitir a un atacante envenenar certificados OpenPGP, añadiendo una gran cantidad de firmas "spam" que no pueden ser eliminadas. El envenenamiento hace que GnuPG no pueda importar certificados desde los servidores de claves SKS, provocando la denegación del servicio.

Etiquetas: Vulnerabilidad