CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

01/07/2019

Atac a la xarxa de certificats públics OpenPGP

Key L'atac està causant que alguns certificats estiguen augmentant la seua grandària de forma preocupant

OpenPGP és utilitzat per a crear certificats amb els quals qualsevol pot signar correus electrònics. Aquests certificats poden publicar-se en línia i permeten a altres usuaris que els validen amb les seues pròpies signatures, de manera que s'aporta confiança a les signatures publicades.

Doncs bé, aquesta funcionalitat està sent explotada per atacants desconeguts per a signar milers de vegades alguns dels certificats de manera que aquestes "validacions" s'afigen al certificat, i fan que arriben a ocupar desenes de megues, i causen fallades en alguns clients de correu o alenteixen el funcionament de l'aplicació.

Si bé no es tracta d'una fallada de seguretat, no hi ha mecanismes per a pal·liar aquest atac.

Recomanem la lectura del següent fil de Twitter de @ssantosv on s'explica molt bé el que està succeint.

Font: Twitter

CSIRT-CV