[OpenPGP] Vulnérabilité (mesures d'urgence déterminées)

Applications, problèmes de configuration réseau
Répondre
Avatar de l’utilisateur
waitnsea
Maître du Kyudo
Messages : 2114
Inscription : jeu. 15 mars 2012, 05:08

[OpenPGP] Vulnérabilité (mesures d'urgence déterminées)

Message par waitnsea »

Bonjour,
Lu sur le Journal du hacker : Pourquoi une attaque relativement simple à mettre en oeuvre fait vaciller la communauté OpenPGP ? :
la solution paliative proposée pour le moment et d'éditer son fichier gpg.conf pour retirer toutes les lignes contenant un keyserver puis d'éditer le dirmngr.conf et ajouter une ligne correspondant à un nouveau serveur de clé expérimental résistant à cette attaque et hors du réseau de serveurs de clés :
keyserver hkps://keys.openpgp.org

Q 1 : Faut-il faire manuellement cette modif, relativement simple ?
Q 2 : d'où vient /etc/pacman.d/gnupg/gpg.conf ?

Code : Tout sélectionner

$ pacman -Fs gpg.conf                                                                       
community/gradle-doc 5.5-1
Le paquet gradle-doc est récent mais n'est pas installé chez moi, de plus mon fichier

Code : Tout sélectionner

$ ls -l /etc/pacman.d/gnupg/gpg.conf                                                               
-rw-r--r-- 1 root root 114 11 mai    2016 /etc/pacman.d/gnupg/gpg.conf
est bien plus ancien, quel paquet l'a installé ? gnupg du groupe base ?

Edit : je n'ai d'ailleurs pas bien compris "éditer son fichier gpg.conf pour retirer toutes les lignes contenant un keyserver puis d'éditer le dirmngr.conf" : c'est gpg.conf qui contient keyserver hkp://pool.sks-keyservers.net, et je n'ai pas de dirmngr.conf dans le système
Dernière modification par waitnsea le ven. 05 juil. 2019, 18:37, modifié 1 fois.
Nophke
Daikyu
Messages : 82
Inscription : lun. 03 juin 2019, 01:14

Re: [OpenPGP] Vulnérabilité

Message par Nophke »

Bonjour,
Q1:
Pour ce que je crois en comprendre, il ne me semble pas qu'il soit nécessaire de toucher au gpg.conf dans pacman.d.

Sur la page anglophone du wiki, il est dit que Pacman utilise son propre fichier de configuration. Et que le serveur de clef de Arch utilise un modèle de 'web of trust' ce qui suppose que pour qu'une clef nouvelle soit validée, il faut qu'elle soit manuellement confirmée.

Ile semble donc qu'il n'y a pas de soucis côté client pour Pacman.

Pour ce que j'en comprends: Le problème est plutôt pour ~/.gpg.conf et ~/.dirmngr.conf

Q2:
Création dynamique lors de l'installation a ce qu'il me semble....
$(X=$(cat /dev/random))
zsh: fatal error: out of heap memory
laurent85
Elfe
Messages : 951
Inscription : mar. 16 oct. 2018, 21:05

Re: [OpenPGP] Vulnérabilité

Message par laurent85 »

Bonjour,
De ce que j'ai compris ça concerne la configuration de ta chaîne gnupg, pas celle d'Arch Linux qui n'est pas concerné par la vulnérabilité pour les dépôts officiels. Par contre pour AUR c'est un autre problème.

Il faut comprende en lisant entre les lignes d'après les commentaires des responsables des serveurs de clé SKS que c'est l'explosion nucléaire de l'écosystem SKS :shock:, ça fait plus de 10 ans que le risque est connu :roll:, et ça pète aujourd'hui tout est à jeter :?

Dans l'immédiat il faut désactiver la récupération de clé automatique. Dans ~/.gnupg/gpg.conf :
  • supprimer l'option keyserver-options auto-key-retrieve
  • supprimer toute ligne qui commence par keyserver
Créer ou éditer le fichier ~/.gnupg/dirmngr.conf et ajouter la ligne keyserver hkps://keys.openpgp.org
Avatar de l’utilisateur
waitnsea
Maître du Kyudo
Messages : 2114
Inscription : jeu. 15 mars 2012, 05:08

Re: [OpenPGP] Vulnérabilité

Message par waitnsea »

Nophke a écrit : ven. 05 juil. 2019, 13:05 Bonjour,
Q1:
Pour ce que je crois en comprendre, il ne me semble pas qu'il soit nécessaire de toucher au gpg.conf dans pacman.d.

Sur la page anglophone du wiki, il est dit que Pacman utilise son propre fichier de configuration. Et que le serveur de clef de Arch utilise un modèle de 'web of trust' ce qui suppose que pour qu'une clef nouvelle soit validée, il faut qu'elle soit manuellement confirmée.

Ile semble donc qu'il n'y a pas de soucis côté client pour Pacman.
Pas sûr justement que le pool d'Archlinux ne soit pas concerné :

Code : Tout sélectionner

$ grep keyserver /etc/pacman.d/gnupg/gpg.conf 
keyserver hkp://pool.sks-keyservers.net
Edit : @laurent85 tu as posté pendant que j'écrivais, OK je vais déjà suspendre les mises à jour AUR en attendant
laurent85
Elfe
Messages : 951
Inscription : mar. 16 oct. 2018, 21:05

Re: [OpenPGP] Vulnérabilité

Message par laurent85 »

J'ai pas cette ligne dans /etc/pacman.d/gnupg/gpg.conf

Code : Tout sélectionner

no-greeting
no-permission-warning
lock-never
keyserver-options timeout=10
Avatar de l’utilisateur
waitnsea
Maître du Kyudo
Messages : 2114
Inscription : jeu. 15 mars 2012, 05:08

Re: [OpenPGP] Vulnérabilité

Message par waitnsea »

laurent85 a écrit : ven. 05 juil. 2019, 13:59 J'ai pas cette ligne dans /etc/pacman.d/gnupg/gpg.conf

Code : Tout sélectionner

no-greeting
no-permission-warning
lock-never
keyserver-options timeout=10
J'ai la même chose que toi + cette ligne : keyserver hkp://pool.sks-keyservers.net,

Code : Tout sélectionner

$ ls -l /etc/pacman.d/gnupg/gpg.conf
-rw-r--r-- 1 root root 114 11 mai    2016 /etc/pacman.d/gnupg/gpg.conf
Est-ce que j'aurais fait une bêtise en root il y a 3 ans ??? Je vais déjà la commenter, puisque tu t'en passes c'est qu'elle est inutile ou nuisible...
laurent85
Elfe
Messages : 951
Inscription : mar. 16 oct. 2018, 21:05

Re: [OpenPGP] Vulnérabilité

Message par laurent85 »

C'est le contenu par défaut je ne l'ai pas modifié.
Nophke
Daikyu
Messages : 82
Inscription : lun. 03 juin 2019, 01:14

Re: [OpenPGP] Vulnérabilité

Message par Nophke »

En effet, j'ai aussi cette ligne keyserver....

Et la date correspond à l'installation du système d'exploitation.....
$(X=$(cat /dev/random))
zsh: fatal error: out of heap memory
Avatar de l’utilisateur
onyx67
Elfe
Messages : 766
Inscription : dim. 06 nov. 2011, 18:12
Localisation : Alsace

Re: [OpenPGP] Vulnérabilité

Message par onyx67 »

waitnsea a écrit : ven. 05 juil. 2019, 14:07 J'ai la même chose que toi + cette ligne : keyserver hkp://pool.sks-keyservers.net,

Code : Tout sélectionner

$ ls -l /etc/pacman.d/gnupg/gpg.conf
-rw-r--r-- 1 root root 114 11 mai    2016 /etc/pacman.d/gnupg/gpg.conf
Est-ce que j'aurais fait une bêtise en root il y a 3 ans ??? Je vais déjà la commenter, puisque tu t'en passes c'est qu'elle est inutile ou nuisible...
J'ai également cette ligne datée du 12/12/2014...
"La complication est un effet de la simplicité mal acquise"

Intel i5-2320; Nvidia GeForce GT 520; ATA Hitachi 2To; ArchLinux-KDE
laurent85
Elfe
Messages : 951
Inscription : mar. 16 oct. 2018, 21:05

Re: [OpenPGP] Vulnérabilité

Message par laurent85 »

J'ai fait un test en vm, même sans la ligne c'est le serveur utilisé par défaut. Il ne faut donc pas utiliser pacman-key --refresh-keys. Les mises à jour de clé arrivent par le paquet officiel archlinux-keyring.

Pour les clés à récupérer dans d'autres situations le faire manuellement, pas sur un serveur SKS.
Avatar de l’utilisateur
waitnsea
Maître du Kyudo
Messages : 2114
Inscription : jeu. 15 mars 2012, 05:08

Re: [OpenPGP] Vulnérabilité

Message par waitnsea »

Il y a un post sur le forum inter
laurent85
Elfe
Messages : 951
Inscription : mar. 16 oct. 2018, 21:05

Re: [OpenPGP] Vulnérabilité

Message par laurent85 »

Le détail traduit automatiquement
https://translate.google.com/translate? ... l=en&tl=fr

La formule de politesse à la fin du texte :| Ils sont dedans jusqu'au cou :x
laurent85
Elfe
Messages : 951
Inscription : mar. 16 oct. 2018, 21:05

Re: [OpenPGP] Vulnérabilité

Message par laurent85 »

waitnsea a écrit : ven. 05 juil. 2019, 13:52 OK je vais déjà suspendre les mises à jour AUR en attendant
Pour la récupération de nouvelles clés seulement, ne pas télécharger de nouvelles clé ou mise à jour de clé d'un serveur SKS. Celles que tu as déjà n'ont rien à priori sinon gnupg serait déjà cassé. Une mise à jour de paquet AUR ne pose pas de problème avec les clés déjà en possession.
Avatar de l’utilisateur
waitnsea
Maître du Kyudo
Messages : 2114
Inscription : jeu. 15 mars 2012, 05:08

Re: [OpenPGP] Vulnérabilité

Message par waitnsea »

@laurent85
OK, merci
Avatar de l’utilisateur
waitnsea
Maître du Kyudo
Messages : 2114
Inscription : jeu. 15 mars 2012, 05:08

Re: [OpenPGP] Vulnérabilité (mesures d'urgence déterminées)

Message par waitnsea »

Une explication bien claire sur 01.net
Un tuto simple en français sur ce blog
Répondre