Page 1 sur 1

[OpenPGP] Vulnérabilité (mesures d'urgence déterminées)

Publié : ven. 05 juil. 2019, 07:36
par waitnsea
Bonjour,
Lu sur le Journal du hacker : Pourquoi une attaque relativement simple à mettre en oeuvre fait vaciller la communauté OpenPGP ? :
la solution paliative proposée pour le moment et d'éditer son fichier gpg.conf pour retirer toutes les lignes contenant un keyserver puis d'éditer le dirmngr.conf et ajouter une ligne correspondant à un nouveau serveur de clé expérimental résistant à cette attaque et hors du réseau de serveurs de clés :
keyserver hkps://keys.openpgp.org

Q 1 : Faut-il faire manuellement cette modif, relativement simple ?
Q 2 : d'où vient /etc/pacman.d/gnupg/gpg.conf ?

Code : Tout sélectionner

$ pacman -Fs gpg.conf                                                                       
community/gradle-doc 5.5-1
Le paquet gradle-doc est récent mais n'est pas installé chez moi, de plus mon fichier

Code : Tout sélectionner

$ ls -l /etc/pacman.d/gnupg/gpg.conf                                                               
-rw-r--r-- 1 root root 114 11 mai    2016 /etc/pacman.d/gnupg/gpg.conf
est bien plus ancien, quel paquet l'a installé ? gnupg du groupe base ?

Edit : je n'ai d'ailleurs pas bien compris "éditer son fichier gpg.conf pour retirer toutes les lignes contenant un keyserver puis d'éditer le dirmngr.conf" : c'est gpg.conf qui contient keyserver hkp://pool.sks-keyservers.net, et je n'ai pas de dirmngr.conf dans le système

Re: [OpenPGP] Vulnérabilité

Publié : ven. 05 juil. 2019, 13:05
par Nophke
Bonjour,
Q1:
Pour ce que je crois en comprendre, il ne me semble pas qu'il soit nécessaire de toucher au gpg.conf dans pacman.d.

Sur la page anglophone du wiki, il est dit que Pacman utilise son propre fichier de configuration. Et que le serveur de clef de Arch utilise un modèle de 'web of trust' ce qui suppose que pour qu'une clef nouvelle soit validée, il faut qu'elle soit manuellement confirmée.

Ile semble donc qu'il n'y a pas de soucis côté client pour Pacman.

Pour ce que j'en comprends: Le problème est plutôt pour ~/.gpg.conf et ~/.dirmngr.conf

Q2:
Création dynamique lors de l'installation a ce qu'il me semble....

Re: [OpenPGP] Vulnérabilité

Publié : ven. 05 juil. 2019, 13:43
par laurent85
Bonjour,
De ce que j'ai compris ça concerne la configuration de ta chaîne gnupg, pas celle d'Arch Linux qui n'est pas concerné par la vulnérabilité pour les dépôts officiels. Par contre pour AUR c'est un autre problème.

Il faut comprende en lisant entre les lignes d'après les commentaires des responsables des serveurs de clé SKS que c'est l'explosion nucléaire de l'écosystem SKS :shock:, ça fait plus de 10 ans que le risque est connu :roll:, et ça pète aujourd'hui tout est à jeter :?

Dans l'immédiat il faut désactiver la récupération de clé automatique. Dans ~/.gnupg/gpg.conf :
  • supprimer l'option keyserver-options auto-key-retrieve
  • supprimer toute ligne qui commence par keyserver
Créer ou éditer le fichier ~/.gnupg/dirmngr.conf et ajouter la ligne keyserver hkps://keys.openpgp.org

Re: [OpenPGP] Vulnérabilité

Publié : ven. 05 juil. 2019, 13:52
par waitnsea
Nophke a écrit :
ven. 05 juil. 2019, 13:05
Bonjour,
Q1:
Pour ce que je crois en comprendre, il ne me semble pas qu'il soit nécessaire de toucher au gpg.conf dans pacman.d.

Sur la page anglophone du wiki, il est dit que Pacman utilise son propre fichier de configuration. Et que le serveur de clef de Arch utilise un modèle de 'web of trust' ce qui suppose que pour qu'une clef nouvelle soit validée, il faut qu'elle soit manuellement confirmée.

Ile semble donc qu'il n'y a pas de soucis côté client pour Pacman.
Pas sûr justement que le pool d'Archlinux ne soit pas concerné :

Code : Tout sélectionner

$ grep keyserver /etc/pacman.d/gnupg/gpg.conf 
keyserver hkp://pool.sks-keyservers.net
Edit : @laurent85 tu as posté pendant que j'écrivais, OK je vais déjà suspendre les mises à jour AUR en attendant

Re: [OpenPGP] Vulnérabilité

Publié : ven. 05 juil. 2019, 13:59
par laurent85
J'ai pas cette ligne dans /etc/pacman.d/gnupg/gpg.conf

Code : Tout sélectionner

no-greeting
no-permission-warning
lock-never
keyserver-options timeout=10

Re: [OpenPGP] Vulnérabilité

Publié : ven. 05 juil. 2019, 14:07
par waitnsea
laurent85 a écrit :
ven. 05 juil. 2019, 13:59
J'ai pas cette ligne dans /etc/pacman.d/gnupg/gpg.conf

Code : Tout sélectionner

no-greeting
no-permission-warning
lock-never
keyserver-options timeout=10
J'ai la même chose que toi + cette ligne : keyserver hkp://pool.sks-keyservers.net,

Code : Tout sélectionner

$ ls -l /etc/pacman.d/gnupg/gpg.conf
-rw-r--r-- 1 root root 114 11 mai    2016 /etc/pacman.d/gnupg/gpg.conf
Est-ce que j'aurais fait une bêtise en root il y a 3 ans ??? Je vais déjà la commenter, puisque tu t'en passes c'est qu'elle est inutile ou nuisible...

Re: [OpenPGP] Vulnérabilité

Publié : ven. 05 juil. 2019, 14:15
par laurent85
C'est le contenu par défaut je ne l'ai pas modifié.

Re: [OpenPGP] Vulnérabilité

Publié : ven. 05 juil. 2019, 14:21
par Nophke
En effet, j'ai aussi cette ligne keyserver....

Et la date correspond à l'installation du système d'exploitation.....

Re: [OpenPGP] Vulnérabilité

Publié : ven. 05 juil. 2019, 14:40
par onyx67
waitnsea a écrit :
ven. 05 juil. 2019, 14:07
J'ai la même chose que toi + cette ligne : keyserver hkp://pool.sks-keyservers.net,

Code : Tout sélectionner

$ ls -l /etc/pacman.d/gnupg/gpg.conf
-rw-r--r-- 1 root root 114 11 mai    2016 /etc/pacman.d/gnupg/gpg.conf
Est-ce que j'aurais fait une bêtise en root il y a 3 ans ??? Je vais déjà la commenter, puisque tu t'en passes c'est qu'elle est inutile ou nuisible...
J'ai également cette ligne datée du 12/12/2014...

Re: [OpenPGP] Vulnérabilité

Publié : ven. 05 juil. 2019, 14:58
par laurent85
J'ai fait un test en vm, même sans la ligne c'est le serveur utilisé par défaut. Il ne faut donc pas utiliser pacman-key --refresh-keys. Les mises à jour de clé arrivent par le paquet officiel archlinux-keyring.

Pour les clés à récupérer dans d'autres situations le faire manuellement, pas sur un serveur SKS.

Re: [OpenPGP] Vulnérabilité

Publié : ven. 05 juil. 2019, 15:22
par waitnsea
Il y a un post sur le forum inter

Re: [OpenPGP] Vulnérabilité

Publié : ven. 05 juil. 2019, 15:52
par laurent85
Le détail traduit automatiquement
https://translate.google.com/translate? ... l=en&tl=fr

La formule de politesse à la fin du texte :| Ils sont dedans jusqu'au cou :x

Re: [OpenPGP] Vulnérabilité

Publié : ven. 05 juil. 2019, 17:20
par laurent85
waitnsea a écrit :
ven. 05 juil. 2019, 13:52
OK je vais déjà suspendre les mises à jour AUR en attendant
Pour la récupération de nouvelles clés seulement, ne pas télécharger de nouvelles clé ou mise à jour de clé d'un serveur SKS. Celles que tu as déjà n'ont rien à priori sinon gnupg serait déjà cassé. Une mise à jour de paquet AUR ne pose pas de problème avec les clés déjà en possession.

Re: [OpenPGP] Vulnérabilité

Publié : ven. 05 juil. 2019, 18:28
par waitnsea
@laurent85
OK, merci

Re: [OpenPGP] Vulnérabilité (mesures d'urgence déterminées)

Publié : dim. 07 juil. 2019, 08:26
par waitnsea
Une explication bien claire sur 01.net
Un tuto simple en français sur ce blog