PGP fallato, la caduta di un mito?
Topic
Approfondimenti
Trending
tutti

PGP fallato, la caduta di un mito?

Dopo 10 anni di vita il ben noto software di crittazione Pretty Good Privacy si ritrova ad affrontare, non senza imbarazzo, una seria falla di sicurezza. Sotto accusa una recente modifica voluta dal governo USA
Sicurezza Antivirus
Dopo 10 anni di vita il ben noto software di crittazione Pretty Good Privacy si ritrova ad affrontare, non senza imbarazzo, una seria falla di sicurezza. Sotto accusa una recente modifica voluta dal governo USA


Wassenberg (Germania) – Questa volta la vittima è di quelle eccellenti: Pretty Good Privacy (PGP), il famosissimo software di crittazione delle e-mail scritto quasi 10 anni or sono dal mitico Phil Zimmermann, vero pioniere nella battaglia per la libera esportazione della cosiddetta “crittografia forte” al di fuori degli USA.

L’allarme è stato lanciato da un esperto tedesco in algoritmi crittografici, il ricercatore Ralf Senderek, che ha pubblicato un documento dove dimostra come sia possibile, da parte di un esperto, ingannare il sistema di gestione delle chiavi di PGP e leggere mail o documenti crittati con le versioni più recenti di questo software.

Il problema, che affliggerebbe le versioni di PGP (sia freeware che commerciali) dalla 5.5 alla 6.5.3, avrebbe avuto origine dall’introduzione nello schema a chiave pubblica implementato da PGP del “key escrow”, una funzione che permette di creare e archiviare chiavi crittografiche aggiuntive per permettere ad una terza parte, ad esempio il capo di un’azienda od un agente del governo, di poter decrittare i documenti in caso di necessità.

Purtroppo questa funzione, qui chiamata Additional Decryption Keys (ADK), non è affatto sicura in PGP, visto che il software sembra incapace di distinguere fra una chiave aggiuntiva inserita in una chiave pubblica in modo legittimo (col consenso del proprietario) da una inserita in modo fraudolento.

Network Associates , proprietaria di PGP Security , ha voluto rassicurare i 7 milioni di utenti PGP affermando che questa falla di sicurezza può essere sfruttata solo in particolari circostanze e attraverso procedimenti molto complessi, alla portata solo di pochissimi esperti. L’azienda ha poi promesso il rilascio di una patch al più tardi per venerdì.

Quello che più fa pensare di tutta questa storia è il fatto che la funzione per il key escrew è stata introdotta dietro forti pressioni del Governo USA ed implementata in PGP senza troppa pubblicità da Network Associates, fra l’altro compromettendo la proverbiale sicurezza di un software che si propone, in primis, di difendere la privacy degli utenti.

Pubblicato il 29 ago 2000

Link copiato negli appunti

Ti potrebbe interessare

Pacchetti Norton in offerta: si parte da 19 euro al mese

Pacchetti Norton in offerta: si parte da 19 euro al mese
Norton Antivirus: protezione di alto livello, a partire da 19,99€

Norton Antivirus: protezione di alto livello, a partire da 19,99€
Stop a malware e perdite dati: online senza rischi con Surfshark One

Stop a malware e perdite dati: online senza rischi con Surfshark One
I migliori anti malware 2024 (gratis e a pagamento)

I migliori anti malware 2024 (gratis e a pagamento)
Pacchetti Norton in offerta: si parte da 19 euro al mese

Pacchetti Norton in offerta: si parte da 19 euro al mese
Norton Antivirus: protezione di alto livello, a partire da 19,99€

Norton Antivirus: protezione di alto livello, a partire da 19,99€
Stop a malware e perdite dati: online senza rischi con Surfshark One

Stop a malware e perdite dati: online senza rischi con Surfshark One
I migliori anti malware 2024 (gratis e a pagamento)

I migliori anti malware 2024 (gratis e a pagamento)
Redazione
Pubblicato il
29 ago 2000
Link copiato negli appunti