Vulnerabilitat al PGP

Reading time: 2 – 3 minutes

Ja fa un parell o tres de dies q no paren de correr missatges a la BUGTRAQ
parlant de la vulnerabilitat q han trobat uns “checs” al PGP, però trobo
q pel calibre d la notícia no acaba de saltar la bomba o la gent no s’ho
acaba de creure.

Pel q sembla però amb els missatges m’han anat arribant les
últimes hores cada cop hi ha més gent confirmant la
notícia i malgrat encara no tinc coneixement q entitats com
securityfocus ho hagin publicat confirmant-ho. Hi ha múltiples documents
tècnics dels “analistes” q ho han aconseguit.Documents q de moments tots
els experts donen com a correctes.

Alguns d’aquests interessants documents estan a les següents URLs:

http://www.i.cz/en/pdf/openPGP_attack_ENGvktr.pdf

“The attack to private signature keys in OpenPGP format, PGPTM program and
other OpenPGP based applications” here.
http://www.i.cz/pdf/pgp/OpenPGP_Attack_ENGfinal.ppt

Jo sincerament em perdo amb les definicions tècniques dels documents
anteriors pq no domino lo suficient el RSA i el DSA, q és on s’han
trobat els errors. Però a la llista del openPGP hi ha un missatge q
és el q millor entenc sobre l’error:
http://www.imc.org/ietf-openpgp/mail-archive/msg04767.html

En aquest missatge es deixa clar q l’impacte real de l’error és petit pq
s’ha de tenir accés a la clau privada per poder modificar-la i
això a l’hora de la veritat és poc factible, però a nivell
teoric si q és una gran troballa. Per tant, potser no s’ha trencat
l’algorisme, però si q s’ha fet un gran abans en entendre les seves
potencials vulnerabilitats.

Parlnat de PGP i ja per tancar l’article només afegir q ja fa una
setmana o dues l’inventor del PGP Phil Zimmermann va deixar la NAI pq estava en
desacort en la seva política respecta al codi de les noves versions del
PGP, així doncs va decidir separar-se d’aquesta prestigiosa empresa d
seguretat.