Американские специалисты по компьютерной безопасности нашли новый способ расшифровкиэлектронной почты, закодированной с использованием технологии PGP. Как показалосовместное исследование ученых Колумбийского университета и компании CounterpaneInternet Security, уязвимыми для взлома являются практи
ески все программныереализации алгоритма PGP.
На практике использовать уязвимость достаточно легко. Сначала надо перехватитьзашифрованное письмо программой-сниффером и направить получателю, предварительноперешифровав. В результате получатель сообщения получит вместо связного текстаполную абракадабру и, скорее всего, попросит переслать письмо еще раз. Если получательвоспользуется для этого кнопкой “Ответить”, которая имеется во всех почтовыхпрограммах, и вложит в ответное послание текст исходного сообщения (а именнотак делается в большинстве случаев), то исходное послание будет расшифровано.
Впрочем, с обнаруженной уязвимостью можно бороться. Например, если в программеPGP включена опция предварительного сжатия текста сообщения, то расшифроватьписьмо не получится. В то же время при вложении в письмо предварительно сжатогофайла, например, zip-архива, PGP-сжатие не задействуется, а расшифровка возможна.Предотвратить взлом шифра можно и с помощью функции проверки целостности шифра,которая, однако, не является обязательной и отсутствует во многих программах,основанных на PGP.
Для борьбы с уязвимостью исследователи рекомендуют задействовать сжатие текстасообщений перед шифрованием, а также внести изменения в стандарт OpenPGP, сделавфункции проверки целостности шифра и предварительного сжатия информации обязательными,а не опциональными.