PGP Security, подразделение компании Network
Associates, специализирующейся на программах шифрования данных,
предупредило о «дыре» в известном пакете PGP, которая позволяет третьему лицу
подменить открытый ключ, расположенный, к примеру, на
сервере-хранилище ключей и, таким образом, перехватывать
зашифрованные сообщения.
Как заявил Майк Уоллач (Mike
Wallach) — президент PGP Security — «это настолько сложно, что
воспользоваться этим сможет только специалист». PGP используют 7
млн. пользователей, среди которых довольно много бизнесменов,
нередко пересылающих по e-mail конфиденциальную информацию.
Разработчики считают PGP версий 5.5 и выше, хотя пока о прецедентах
использования «дыры» ничего не известно. В скором времени PGP
Security выпустит патч и объявит о подробностях обнаруженной
проблемы.
Обмен шифрованными сообщениями с помощью PGP
происходит следующим образом — пользователь генерирует два ключа —
открытый и закрытый (секретный). Открытый ключ может быть свободно
разослан всем желающим или опубликован в интернете — с его помощью
любой сможет зашифровать сообщение и отправить пользователю.
Прочитать зашифрованное сообщение сможет только владелец закрытого
ключа. Если отправитель «подпишет» сообщение своим закрытым ключом,
получатель, имея открытый ключ отправителя, сможет точно установить
авторство полученного. Более подробное исследование возможностей
злоупотребления системой можно найти здесь.