Purtroppo nemmeno PGP ha resistito alle sempre più pesanti pressioni del governo degli stati uniti, da sempre contrario alla diffusione della cosiddetta crittografia forte. Senza troppa pubblicità, nelle versioni dalla 5.5 alla 6.5.3 sia freeware che commerciali, la Network Associates aveva implementato un sistema per il "key escrow", una funzione che permette di creare e archiviare chiavi crittografiche aggiuntive per permettere ad una terza parte di poter decifrare i documenti in caso di necessità.
Ufficialmente si parla del capo di un'azienda quando l'oggetto cifrato contiene materiale necessario al proseguimento del lavoro, ma molto probabilmente si pensava ad un agente di governo. Questa chiave aggiuntiva comunque poteva essere inserita solo col consenso del proprietario della chiave pubblica, e questa sembrava una soluzione accettabile, se non fosse che la funzione in esame, chiamata anche Additional Decryption Keys (ADK), non è affatto sicura in PGP, visto che il software sembra incapace di distinguere fra una chiave aggiuntiva inserita in una chiave pubblica in modo legittimo (col consenso del proprietario) da una inserita in modo fraudolento.
L'allarme è stato lanciato da un esperto tedesco in algoritmi crittografici, il ricercatore Ralf Senderek, che ha pubblicato un documento dove dimostra come sia possibile ingannare il sistema di gestione delle chiavi di PGP e leggere email o documenti cifrati con le versioni dalla 5.5 alla 6.5.3. Network Associates, proprietaria di PGP Security, ha voluto rassicurare gli ormai più di 7 milioni di utenti PGP affermando che questa falla di sicurezza può essere sfruttata solo in particolari circostanze e attraverso procedimenti molto complessi, alla portata solo di pochissimi esperti e ha poi rilasciato di una patch (disponibile sul sito di PGP).
Quello che più fa pensare di tutta questa storia è il fatto che la funzione per il key escrow è stata introdotta dietro forti pressioni del Governo USA ed implementata in PGP compromettendo la proverbiale sicurezza di un software che si propone di difendere la privacy degli utenti. Per questo, ma non solo, Phil Zimmermann, che si è sempre battuto per la diffusione della crittografia tanto da essere accusato di violazioni delle leggi federali, ha deciso di lasciare nell'aprile 2001 la Network Associates per passare a nuovi progetti con la Hush, un'azienda che si occupa di sicurezza nella telefonia e che ha già brevettato un motore di crittografia per la posta davvero molto simile a PGP.
Ultimi articoli Sicurezza
Nmap: tecniche per evadere un firewallVediamo come sfuggire ai controlli di un firewall utilizzando Nmap. |
Sfruttare vulnerabilità XSS con BeEFUsiamo BeEF per automatizzare lo sfruttamento di vulnerabilità Cross... |
Trojan Flashback: rimuoverlo da Mac OS XIndividuiamo e rimuoviamo il trojan Flashback da Mac OS X |
Individuare vulnerabilità in Joomla con JoomScanUsiamo JoomScan per verificare la sicurezza di Joomla e la presenza... |
XSS: attacchi avanzatiApprofondiamo le vulnerabilità Cross Site Scripting analizzando... |
Guide Sicurezza
Guida SQL Injection con SqlmapScopriamo se le nostre applicazioni web sono vulnerabili alle SQL... |
Guida sicurezza applicazioni WebLe tecniche di attacco più comuni, i metodi per verificare la... |
Guida Sicurezza wirelessQuali sono i pericoli di sicurezza di una rete senza filo e quali... |
Newsletter @Sicurezza
Ogni lunedì, direttamente nella tua e-mail: approfondimenti e bollettini su virus, vulnerabilità e sicurezza informatica.
Iscriviti alla newsletter
Corsi in aula
|
|
Amministratore di Reti Windows Server 200811 Giugno 2012 a Milano |
|
Nessun corso previsto |
