Page 1 sur 1
[OpenPGP] Vulnérabilité (mesures d'urgence déterminées)
Publié : ven. 05 juil. 2019, 07:36
par waitnsea
Bonjour,
Lu sur le
Journal du hacker :
Pourquoi une attaque relativement simple à mettre en oeuvre fait vaciller la communauté OpenPGP ? :
la solution paliative proposée pour le moment et d'éditer son fichier gpg.conf pour retirer toutes les lignes contenant un keyserver puis d'éditer le dirmngr.conf et ajouter une ligne correspondant à un nouveau serveur de clé expérimental résistant à cette attaque et hors du réseau de serveurs de clés :
keyserver hkps://keys.openpgp.org
Q 1 : Faut-il faire manuellement cette modif, relativement simple ?
Q 2 : d'où vient
/etc/pacman.d/gnupg/gpg.conf ? Le paquet gradle-doc est récent mais n'est pas installé chez moi, de plus mon fichier
Code : Tout sélectionner
$ ls -l /etc/pacman.d/gnupg/gpg.conf
-rw-r--r-- 1 root root 114 11 mai 2016 /etc/pacman.d/gnupg/gpg.conf
est bien plus ancien, quel paquet l'a installé ?
gnupg du groupe
base ?
Edit : je n'ai d'ailleurs pas bien compris
"éditer son fichier gpg.conf pour retirer toutes les lignes contenant un keyserver puis d'éditer le dirmngr.conf" : c'est gpg.conf qui contient
keyserver hkp://pool.sks-keyservers.net, et je n'ai pas de
dirmngr.conf dans le système
Re: [OpenPGP] Vulnérabilité
Publié : ven. 05 juil. 2019, 13:05
par Nophke
Bonjour,
Q1:
Pour ce que je crois en comprendre, il ne me semble pas qu'il soit nécessaire de toucher au gpg.conf dans pacman.d.
Sur la page anglophone du wiki, il est dit que Pacman utilise son propre fichier de configuration. Et que le serveur de clef de Arch utilise un modèle de 'web of trust' ce qui suppose que pour qu'une clef nouvelle soit validée, il faut qu'elle soit manuellement confirmée.
Ile semble donc qu'il n'y a pas de soucis côté client pour Pacman.
Pour ce que j'en comprends: Le problème est plutôt pour ~/.gpg.conf et ~/.dirmngr.conf
Q2:
Création dynamique lors de l'installation a ce qu'il me semble....
Re: [OpenPGP] Vulnérabilité
Publié : ven. 05 juil. 2019, 13:43
par laurent85
Bonjour,
De ce que j'ai compris ça concerne la configuration de ta chaîne gnupg, pas celle d'Arch Linux qui n'est pas concerné par la vulnérabilité pour les dépôts officiels. Par contre pour AUR c'est un autre problème.
Il faut comprende en lisant entre les lignes d'après les commentaires des responsables des serveurs de clé SKS que c'est l'explosion nucléaire de l'écosystem SKS
, ça fait plus de 10 ans que le risque est connu
, et ça pète aujourd'hui tout est à jeter
Dans l'immédiat il faut désactiver la récupération de clé automatique. Dans ~/.gnupg/gpg.conf :
- supprimer l'option keyserver-options auto-key-retrieve
- supprimer toute ligne qui commence par keyserver
Créer ou éditer le fichier ~/.gnupg/dirmngr.conf et ajouter la ligne
keyserver hkps://keys.openpgp.org
Re: [OpenPGP] Vulnérabilité
Publié : ven. 05 juil. 2019, 13:52
par waitnsea
Nophke a écrit : ↑ven. 05 juil. 2019, 13:05
Bonjour,
Q1:
Pour ce que je crois en comprendre, il ne me semble pas qu'il soit nécessaire de toucher au gpg.conf dans pacman.d.
Sur la page anglophone du wiki, il est dit que Pacman utilise son propre fichier de configuration. Et que le serveur de clef de Arch utilise un modèle de 'web of trust' ce qui suppose que pour qu'une clef nouvelle soit validée, il faut qu'elle soit manuellement confirmée.
Ile semble donc qu'il n'y a pas de soucis côté client pour Pacman.
Pas sûr justement que le pool d'Archlinux ne soit pas concerné :
Code : Tout sélectionner
$ grep keyserver /etc/pacman.d/gnupg/gpg.conf
keyserver hkp://pool.sks-keyservers.net
Edit : @laurent85 tu as posté pendant que j'écrivais, OK je vais déjà suspendre les mises à jour AUR en attendant
Re: [OpenPGP] Vulnérabilité
Publié : ven. 05 juil. 2019, 13:59
par laurent85
J'ai pas cette ligne dans
/etc/pacman.d/gnupg/gpg.conf
Code : Tout sélectionner
no-greeting
no-permission-warning
lock-never
keyserver-options timeout=10
Re: [OpenPGP] Vulnérabilité
Publié : ven. 05 juil. 2019, 14:07
par waitnsea
laurent85 a écrit : ↑ven. 05 juil. 2019, 13:59
J'ai pas cette ligne dans
/etc/pacman.d/gnupg/gpg.conf
Code : Tout sélectionner
no-greeting
no-permission-warning
lock-never
keyserver-options timeout=10
J'ai la même chose que toi + cette ligne :
keyserver hkp://pool.sks-keyservers.net,
Code : Tout sélectionner
$ ls -l /etc/pacman.d/gnupg/gpg.conf
-rw-r--r-- 1 root root 114 11 mai 2016 /etc/pacman.d/gnupg/gpg.conf
Est-ce que j'aurais fait une bêtise en root il y a 3 ans ??? Je vais déjà la commenter, puisque tu t'en passes c'est qu'elle est inutile ou nuisible...
Re: [OpenPGP] Vulnérabilité
Publié : ven. 05 juil. 2019, 14:15
par laurent85
C'est le contenu par défaut je ne l'ai pas modifié.
Re: [OpenPGP] Vulnérabilité
Publié : ven. 05 juil. 2019, 14:21
par Nophke
En effet, j'ai aussi cette ligne keyserver....
Et la date correspond à l'installation du système d'exploitation.....
Re: [OpenPGP] Vulnérabilité
Publié : ven. 05 juil. 2019, 14:40
par onyx67
waitnsea a écrit : ↑ven. 05 juil. 2019, 14:07
J'ai la même chose que toi + cette ligne :
keyserver hkp://pool.sks-keyservers.net,
Code : Tout sélectionner
$ ls -l /etc/pacman.d/gnupg/gpg.conf
-rw-r--r-- 1 root root 114 11 mai 2016 /etc/pacman.d/gnupg/gpg.conf
Est-ce que j'aurais fait une bêtise en root il y a 3 ans ??? Je vais déjà la commenter, puisque tu t'en passes c'est qu'elle est inutile ou nuisible...
J'ai également cette ligne datée du 12/12/2014...
Re: [OpenPGP] Vulnérabilité
Publié : ven. 05 juil. 2019, 14:58
par laurent85
J'ai fait un test en vm, même sans la ligne c'est le serveur utilisé par défaut. Il ne faut donc pas utiliser pacman-key --refresh-keys. Les mises à jour de clé arrivent par le paquet officiel archlinux-keyring.
Pour les clés à récupérer dans d'autres situations le faire manuellement, pas sur un serveur SKS.
Re: [OpenPGP] Vulnérabilité
Publié : ven. 05 juil. 2019, 15:22
par waitnsea
Il y a un post sur le
forum inter
Re: [OpenPGP] Vulnérabilité
Publié : ven. 05 juil. 2019, 15:52
par laurent85
Le détail traduit automatiquement
https://translate.google.com/translate? ... l=en&tl=fr
La formule de politesse à la fin du texte
Ils sont dedans jusqu'au cou
Re: [OpenPGP] Vulnérabilité
Publié : ven. 05 juil. 2019, 17:20
par laurent85
waitnsea a écrit : ↑ven. 05 juil. 2019, 13:52
OK je vais déjà suspendre les mises à jour AUR en attendant
Pour la récupération de nouvelles clés seulement, ne pas télécharger de nouvelles clé ou mise à jour de clé d'un serveur SKS. Celles que tu as déjà n'ont rien à priori sinon gnupg serait déjà cassé. Une mise à jour de paquet AUR ne pose pas de problème avec les clés déjà en possession.
Re: [OpenPGP] Vulnérabilité
Publié : ven. 05 juil. 2019, 18:28
par waitnsea
@laurent85
OK, merci
Re: [OpenPGP] Vulnérabilité (mesures d'urgence déterminées)
Publié : dim. 07 juil. 2019, 08:26
par waitnsea
Une explication bien claire sur
01.net
Un tuto simple en français
sur ce blog