PGP fallato, la caduta di un mito?

Dopo 10 anni di vita il ben noto software di crittazione Pretty Good Privacy si ritrova ad affrontare, non senza imbarazzo, una seria falla di sicurezza. Sotto accusa una recente modifica voluta dal governo USA

PGP fallato, la caduta di un mito?Wassenberg (Germania) - Questa volta la vittima è di quelle eccellenti: Pretty Good Privacy (PGP), il famosissimo software di crittazione delle e-mail scritto quasi 10 anni or sono dal mitico Phil Zimmermann, vero pioniere nella battaglia per la libera esportazione della cosiddetta "crittografia forte" al di fuori degli USA.

L'allarme è stato lanciato da un esperto tedesco in algoritmi crittografici, il ricercatore Ralf Senderek, che ha pubblicato un documento dove dimostra come sia possibile, da parte di un esperto, ingannare il sistema di gestione delle chiavi di PGP e leggere mail o documenti crittati con le versioni più recenti di questo software.

Il problema, che affliggerebbe le versioni di PGP (sia freeware che commerciali) dalla 5.5 alla 6.5.3, avrebbe avuto origine dall'introduzione nello schema a chiave pubblica implementato da PGP del "key escrow", una funzione che permette di creare e archiviare chiavi crittografiche aggiuntive per permettere ad una terza parte, ad esempio il capo di un'azienda od un agente del governo, di poter decrittare i documenti in caso di necessità.
Purtroppo questa funzione, qui chiamata Additional Decryption Keys (ADK), non è affatto sicura in PGP, visto che il software sembra incapace di distinguere fra una chiave aggiuntiva inserita in una chiave pubblica in modo legittimo (col consenso del proprietario) da una inserita in modo fraudolento.

Network Associates, proprietaria di PGP Security, ha voluto rassicurare i 7 milioni di utenti PGP affermando che questa falla di sicurezza può essere sfruttata solo in particolari circostanze e attraverso procedimenti molto complessi, alla portata solo di pochissimi esperti. L'azienda ha poi promesso il rilascio di una patch al più tardi per venerdì.

Quello che più fa pensare di tutta questa storia è il fatto che la funzione per il key escrew è stata introdotta dietro forti pressioni del Governo USA ed implementata in PGP senza troppa pubblicità da Network Associates, fra l'altro compromettendo la proverbiale sicurezza di un software che si propone, in primis, di difendere la privacy degli utenti.
TAG: sicurezza