Во вторник два чешских криптолога объявили, что ими была обнаружена дыра в самой популярной программе шифрования электронных посланий - PGP (Pretty Good Privacy).
Ошибка была обнаружена при изучении надежности электронной подписи в открытом формате OpenPGP, широко используемом сейчас для пресылки сообщений. Широкое распространение формата OpenPGP связано с тем, что создатель PGP, Филипп Циммерман, уйдя из Network Associates занялся широким продвижением этого формата.
Это уже второй случай обнаружения в PGP лазейки для несанкционированного доступа к зашифрованным сообщениям. Предполагается, однако, что на этот раз дело обстоит несколько серьезнее, чем в случае с возможностью добавлять к публичному ключу дополнительный ключ (Additional Decryption Key ADK) и таким образом дешифровать данные.
В официальном заявлении представителей чешской корпорации ICZ, в штате которой состоит 500 криптологов, сказано, что Властимил Клима и Томас Роза, сотрудники сомпании Decros, являющейся частью ICZ, обнаружили дыру в популярном формате OpenPGP в процессе исследования безопасности систем коммуникаций, проводимого по заказу чешского правительства.
Криз Зденек, генеральный директор ICZ, заявил, что проблема, потенциально, очень серьезная. Отчет с подробным изложением технических деталей чешские исследователи обещают опубликовать на сайте компании в ближайшую пятницу.
Поскольку никаких технических подробностей пока не приведено, эксперты очень осторожно комментируют заявление чешских криптологов. Однако известно, что для того, чтобы воспользоваться этой программной ошибкой, необходимо, как минимум, получить доступ к отсылающему компьютеру - либо напрямую, либо через Интернет.
Однако, если наличие подобной дыры будет подтверждено независимыми экспертами, это может самым серьезным образом отразится на пользователях программы. Принцип действия PGP основан на использовании двух независимых ключей шифрования: один для кодирования сообщения, другой для декодирования. Чешские криптологи заявляют, что уязвимое место в программе не дает возможности взлома кода, который до сих пор считается неуязвимым, речь идет о неком обходном пути доступа, позволяющем мошеннику украсть у пользователя один из ключей.
Марк Мак-Ардл, вице-президент подразделения P.G.P. engineering компании Network Associates, заявил, что уже собрана команда инженеров, которая займется анализом полученной информации.
Марк Мак-Ардл также сказал, что относится к возможной проблеме очень серьезно и пожаловался лишь на то, что о уязвимости программы он узнал от журналистов. Он заявил, что если бы чешские криптологи раньше и напрямую сообщили ему об этом, компания уже могла бы приступить к латанию "дыры".
Впрочем, представители ICZ утверждают, что несколько раз в течение последних недель отсылали Мак-Ардлу электронные письма с предупреждениями, однако ответа не получили.
Брюс Шнеер, основатель и технический директор компании Counterpane Internet Security заявил: "Возможно, подобная дыра действительно существует, и это лишний раз доказывает, что безопасность передачи информации посредством электронной почты не должна ограничиваться просто кодированием сообщений при передаче".