Skip to main content

Σημαντικό κενό ασφαλείας σε τεχνολογία κρυπτογράφησης email

Σημαντικό τρωτό σημείο βρέθηκε σε μια ευρέως χρησιμοποιούμενη τεχνολογία κρυπτογράφησης email, σύμφωνα με ερευνητές.

Το PGP (Pretty Good Privacy) είναι μια μέθοδος κρυπτογράφησης δεδομένων που κάποιες φορές προστίθεται σε προγράμματα που αποστέλλουν και λαμβάνουν email. Λεπτομέρειες για το κενό ασφαλείας δημοσιοποιήθηκαν από τη Suddeutsche Zeitung, ενώ προηγουμένως το Electronic Frontier Foundation (EFF) είχε συστήσει την άμεση παύση χρήσης εργαλείων email που αποκωδικοποιούσαν αυτόματα PGP.

Όπως αναφέρει το BBC, το πρόγραμμα έχει διερευνηθεί από τον Σεμπάστιαν Σίντσελ, του FH Munster. Μετά την άρση σχετικού εμπάργκο για το πρόβλημα ασφαλείας, ο Σίντσελ και συνάδελφοί του δημοσιοποίησαν την έρευνά τους σχετικά με το πώς λειτουργούσε ο συγκεκριμένος τρόπος επίθεσης εναντίον PGP emails, ενώ ανέβηκε και μια ιστοσελίδα όπου γινόταν επεξήγηση του ζητήματος.

Αρχικά υπήρχαν προβληματισμοί μεταξύ ερευνητών κυβερνοασφαλείας πως το ζήτημα επηρέαζε το κεντρικό πρωτόκολλο του PGP- κάτι που θα σήμαινε ότι όλες οι χρήσεις της μεθόδου, περιλαμβανομένης της κρυπτογράφησης αρχείων, θα ήταν ευάλωτες. Ωστόσο, ένας πάροχος λογισμικού που κρυπτογραφεί δεδομένα μέσω PGP εξήγησε ότι το πρόβλημα είχε να κάνει ειδικά με προγράμματα email που δεν έλεγχαν για λάθη αποκρυπτογράφησης πριν ακολουθήσουν links σε emails που περιελάμβαναν κώδικα HTML.

Όπως είπε στο BBC ο ειδικός ασφαλείας Μίκο Χαϊπόνεν της F-Secure, το συμπέρασμά του ήταν πως το κενό ασφαλείας θα μπορούσε θεωρητικά να χρησιμοποιηθεί για την αποκρυπτογράφηση κρυπτογραφημένων email που είχαν σταλεί στο παρελθόν, αν κάποιος είχε πρόσβαση σε αυτά. «Αυτό είναι κακό, επειδή αυτοί που χρησιμοποιούν το PGP το κάνουν επειδή έχουν λόγο. Δεν το χρησιμοποιούν για πλάκα- αυτοί που το χρησιμοποιούν έχουν αληθινά μυστικά, όπως επιχειρηματικά μυστικά, ή εμπιστευτικές πληροφορίες».