Създателят на PGP: Не деактивирайте защитата си

Фил Цимерман и специалисти по криптозащита уверяват, че PGP не е несигурен, независимо от наскоро излезли доклади, сочещи противното.

По-рано този месец, изследователи по сигурността обявиха, че са открили критични слабости в PGP (Pretty Good Privacy) протокола, които могат да позволят декриптирането на защитени с криптографска защита съобщения.

Последва и съвет от страна на специалисти, сред които и тези от Фондация „Електронна граница“ (Electronic Frontier Foundation, EFF), известни с понякога сензационалистките си твърдения, че ползващите PGP и S/MIME, трябва незабавно да спрат използването им. Скоро след това обаче се появиха и мненията на други специалисти, които изразиха убеждението си, че съветите на EFF не са коректни. Един от първите, които го направи беше създателят на GNU Privacy Guard Вернер Кох. Той сподели, че проблемите могат да бъдат избегнати, ако получателят на писмата избягва четенето им в HTML вид, използва MIME парсър или се довери на инструмент като OpenPGP.

Наскоро в подкрепа на тезата да не се деактивира PGP се появиха и други специалисти – като самият създател на протокола Фил Цимерман, а също така създателите на Protonmail, Malivelope и Enigmail. „Тези твърдения са крайно подвеждащи и потенциално опасни (препоръките за деактивиране на криптографската защита). PGP не е „счупен“. Проблемите, свързани с eFail не са уязвимости в самия OpenPGP протокол, а в някои имплементации на PGP, сред които тези на Apple Mail, Mozilla Thunderbird и Microsoft Outlook. Много други често използвани програми, които се базират на PGP са незасегнати от eFail уязвимостта по какъвто и да е начин, както и всъщност бива посочено в оригиналния доклад“, пишат специалистите.

Това, което съветват Цимерман и колегите му е да използват импементации на протокола в продукти, които не са засегнати от eFail или да обновят PGP софтуера до последната му версия. „Уверете се, че всеки, с който комуникирате също използва незасегната имплементация или е обновил софтуера си. Уверете се също така, че получавате верифицирано потвърждение за това от контактите си преди да изпращате чувствителна информация към тях“.