PGP, preso di mira un componente chiave dell'intero ecosistema

Gli sviluppatori di GNU Privacy Guard, software libero progettato per sostituire la suite crittografica PGP compatibile con OpenPGP, hanno confermato che la piattaforma è sotto attacco. Un gruppo di aggressori al momento sconosciuto sta inondando il sistema con alcuni certificati digitali contenenti una lunghissima lista di firme e ulteriori certificazioni. L’obiettivo è quello di rendere inutilizzabili i software client PGP che non riescono a gestire l’intera catena di certificazioni.

Secondo uno degli sviluppatori di GnuPG bersaglio dell’aggressione, l’attacco potrebbe non rendere più possibile neppure il download degli aggiornamenti per le distribuzioni Linux, la cui integrità è verificata proprio usando PGP.

L’eventualità che un attacco del genere potesse presentarsi era già nota almeno da un decennio: “la minaccia si è però oggi concretizzata ed è davvero devastante“, ha commentato Robert J. Hansen.

Il nocciolo del problema risiede nei Synchronizing Key Server (SKS), una rete di server federata e decentralizzata che si occupa di facilitare la distribuzione delle chiavi pubbliche usate per la gestione dei certificati PGP.
Il meccanismo è stato progettato per rendere liberi gli utenti di aggiungere le loro firme digitali e ulteriori certificazioni; inoltre, i certificati non possono essere rimossi.

“Le specifiche OpenPGP non pongono alcun limite sulle firme che possono essere allegate a un certificato. Il SKS può gestire certificati con un numero massimo di 150.000 firme. GnuPG, invece, non consente la stessa cosa“, ha spiegato Hansen.
“PGP non è affatto morto“, ha concluso l’esperto, “perché può continuare a vivere anche senza appoggiarsi al sistema SKS“.

Non siamo quindi a che fare con un bug dell’ecosistema PGP in sé ma con una “caratteristica” implementata by design che ne minaccia il corretto funzionamento.

Per maggiori informazioni su PGP, suggeriamo la lettura di questi nostri articoli.