Τελευταία ενημέρωση: 05/03/2022
Κατά την προβολή των λεπτομερειών ενός κλειδιού OpenPGP στο Thunderbird, ενδέχεται να εμφανιστεί μια προειδοποίηση ότι το κλειδί περιέχει επισφαλείς ιδιότητες. Αυτό το άρθρο εξηγεί τι σημαίνει αυτή η προειδοποίηση.
Παρασκήνιο
Το OpenPGP χρησιμοποιεί ιδιωτικά και δημόσια κλειδιά που περιέχουν ιδιότητες, όπως ονόματα χρήστη, διευθύνσεις email, επιπρόσθετα δευτερεύοντα κλειδιά, πληροφορίες επικύρωσης και λήξης και πολλά άλλα. Αυτές οι ιδιότητες ενός κλειδιού χρησιμοποιούν ψηφιακές υπογραφές για να αποδείξουν ότι προστέθηκαν ή τροποποιήθηκαν πράγματι από τον κάτοχο του κλειδιού και όχι από κάποιον τρίτο. Για παράδειγμα, αν ο κάτοχος ενός κλειδιού ενημερώσει την ιδιότητα ημερομηνίας λήξης ενός κλειδιού OpenPGP, η τροποποίηση αυτή απαιτεί μια υπογραφή, η οποία προστίθεται στο κλειδί OpenPGP.
Μια ψηφιακή υπογραφή χρησιμοποιεί τεχνολογίες κρυπτογράφησης που συνδυάζουν πολλαπλούς αλγορίθμους, ώστε να παρέχουν μια απόδειξη αυθεντικότητας που δεν μπορεί να πλαστογραφηθεί εύκολα. Επειδή οι υπολογιστές έχουν γίνει πιο ισχυροί με το πέρασμα του χρόνου, οι αλγόριθμοι που θεωρούνταν ασφαλείς στο παρελθόν ενδέχεται να μην είναι ασφαλείς σήμερα. Για παράδειγμα, η χρήση του αλγορίθμου κατακερματισμού SHA-1 δεν προτείνεται πλέον, καθώς είναι πιθανές ορισμένες επιθέσεις στον αλγόριθμο. Αν και αυτή η σύσταση γίνεται εδώ και αρκετά χρόνια, ορισμένοι χρήστες ίσως να μην είναι ενήμεροι και να χρησιμοποιούν ακόμα παλιό λογισμικό OpenPGP ή ρυθμίσεις λογισμικού που να οδηγούν στη χρήση του SHA-1.
Thunderbird 91.8.0
Οι εκδόσεις 91.8.0 και 91.8.1 του Thunderbird έπαψαν να δέχονται υπογραφές με επισφαλείς αλγόριθμους, ανάλογα με το πότε δημιουργήθηκε η υπογραφή. Συνεπώς, απορρίπτονταν οι υπογραφές με SHA-1 εάν είχαν δημιουργηθεί μετά τα μέσα του Ιανουαρίου 2019.
Μετά την κυκλοφορία της έκδοσης 91.8.0, περισσότεροι από τους αναμενόμενους χρήστες ανέφεραν ότι δεν μπορούσαν πλέον να χρησιμοποιήσουν τα επηρεασμένα κλειδιά OpenPGP. Με βάση την ανάλυσή μας, το SHA-1 ήταν κοινός παράγοντας σε όλες τις αναφορές.
Thunderbird 91.9.0
Για να δοθεί περισσότερος χρόνος για την κατάργηση του SHA-1, η έκδοση 91.9.0 του Thunderbird έχει γίνει λιγότερο αυστηρή από την 91.8.0. Στην έκδοση 91.9.0, οι υπογραφές SHA-1 θα λειτουργούν ξανά στις ιδιότητες των κλειδιών OpenPGP και για τις υπογραφές των ανακλήσεων κλειδιών. Έτσι, οι επηρεασμένοι χρήστες θα μπορούν να χρησιμοποιήσουν το κλειδί τους με το Thunderbird, μέχρι να καταργηθεί πλήρως το SHA-1 σε μια μελλοντική έκδοση.
Ωστόσο, θα εξακολουθήσουν να απορρίπτονται άλλοι επισφαλείς αλγόριθμοι, όπως το MD5. Και το SHA-1 συνεχίσει να απορρίπτεται για τις υπογραφές μηνυμάτων email που δημιουργήθηκαν μετά τα μέσα του Ιανουαρίου 2019.
Απόρριψη του SHA-1 σε μια μελλοντική έκδοση του Thunderbird
Οι προγραμματιστές του Thunderbird σκοπεύουν μελλοντικά να διακόψουν εντελώς τη χρήση του SHA-1 στα κλειδιά OpenPGP, αλλά έχει αποφασιστεί ότι απαιτείται περισσότερος χρόνος για τη μετάβαση και ότι το Thunderbird θα πρέπει επίσης να υλοποιήσει κάποιες αλλαγές, προκειμένου να βοηθήσει τους χρήστες με τη μετάβαση αυτή. Αν διαχειρίζεστε τα μυστικά σας κλειδιά OpenPGP με το Thunderbird, μια μελλοντική έκδοση θα σας βοηθήσει να αναβαθμίσετε τα κλειδιά σας.
Άλλο λογισμικό
Τα άλλα λογισμικά OpenPGP ενδέχεται να απορρίπτουν ήδη αυτές τις επισφαλείς ιδιότητες ή ίσως το κάνουν στο μέλλον. Αν δείτε αυτήν την προειδοποίηση για το δημόσιο κλειδί κάποιου ατόμου με το οποίο επικοινωνείτε μέσω email, θα πρέπει να του ζητήσετε να αναβαθμίσει το κλειδί του, ώστε να μην χρησιμοποιεί πλέον SHA-1 ή να μεταβεί σε ένα νέο κλειδί.
