Обнаружены уязвимые места в популярной системе шифрования

Фил Циммерман: «Не следует преувеличивать опасность найденной ошибки»

Представители чешской компании ICZ заявили об обнаружении уязвимых мест в программной системе шифрования PGP (Pretty Good Privacy), используемой миллионами людей во всем мире для защиты передаваемой по сетям информации. Впрочем, вряд ли кому-то удастся воспользоваться этим для взлома системы безопасности, так что сенсации пока не получилось.

ICZ, занимающаяся консалтингом и системной интеграцией, выпустила пресс-релиз, в котором говорится о «серьезной ошибке» в PGP. Никаких дополнительных комментариев со стороны ICZ не последовало.

Создатель PGP Фил Циммерман смоделировал атаку того типа, который описан в пресс-релизе, и установил, что подобное нарушение защиты не составит угрозы для шифрованных сообщений, но может дать возможность хакеру манипулировать цифровыми подписями — кодами, применяемыми для идентификации личности отправителя сообщения.

Циммерман считает, что не следует преувеличивать опасность этой ошибки. Чтобы воспользоваться такой лазейкой, хакер, по его мнению, должен, во-первых, проникнуть на компьютер своей жертвы через сеть или получить к нему физический доступ. Затем ему придется изменить закрытый ключ пользователя — код, используемый им для шифрования отправляемых сообщений, — таким образом, чтобы нарушить цифровую подпись.

Однако и отправитель, и получатель сообщения смогут без труда обнаружить недействительные подписи.

«Ни одна из ваших подписей не сохранит после атаки свой первозданный вид, и это не останется незамеченным, — объясняет Циммерман. — Обнаружив нарушение, вы просто отзываете свой ключ, так что на самом деле такая атака бессмысленна, к тому же для ее осуществления потребуются расширенные возможности доступа к вашему компьютеру».

Циммерман подчеркивает, что если хакеру все же удастся проникнуть в компьютер пользователя, он сможет нанести гораздо более серьезный ущерб, на фоне которого порча цифровых подписей покажется просто мелочью. Например, хакер может установить сканер клавиатуры, который позволит ему перехватить пароль PGP своей жертвы и затем выдавать себя за нее.

В сообщении ICZ говорится, что возможна также атака в отношении пользователей, посылающих свои закрытые ключи по электронной почте или хранящих их на общих серверах. Циммерман отвергает и эти доводы, отмечая, что пользователи средств шифрования прекрасно понимают, что передавать закрытый ключ через сеть — верх неблагоразумия и что существуют более безопасные варианты хранения закрытых ключей на совместно используемых компьютерах.

Хотя вероятность такой атаки невелика, в будущие версии PGP и в продукты, использующие стандарт PGP, будут, по словам Циммермана, внесены соответствующие изменения, дабы не допустить изменения цифровых подписей способом, описанным компанией ICZ. Коммерческая версия PGP распространяется корпорацией Network Associates; одновременно существует и версия, предоставляемая бесплатно.

В руководстве Network Associates недовольны тем, что ICZ опубликовала эту информацию, не поставив предварительно корпорацию в известность и не дав ей возможность исправить ошибку, то есть проигнорировав общепринятую практику.

«Мы не располагаем никакой технической информацией и не можем утверждать наверняка, что такое уязвимое место действительно существует, — говорит Марк Макардл, вице-президент отделения PGP корпорации Network Associates. — Подобные действия порождают множество недоразумений и будоражат пользователей».

Поделитесь материалом с коллегами и друзьями