חוקרי אבטחה חשפו פרצה בהצפנת שירותי מייל

חוקרי אבטחה וארגון זכויות הגולשים EFF ממליצים לבטל מידית את השימוש בהצפנת PGP בתוכנות מייל לאור פרצה חמורה שנתגלתה בפרוטוקול ההצפנה הפופולרי ושיכולה לחשוף את תוכנם של מיילים.

PGP (ראשי תיבות של Pretty Good Privcy) היא אחת ממערכות ההצפנה הוותיקות והאמינות ברשת, ונמצאת בשימוש במגוון יישומים. האזהרה לא נוגעת לשירותי המייל עצמם, אלא רק לשימוש בתוספים שתמכו ב-PGP וכך אפשרו למשתמשים להוסיף שכבת הגנה לתכתובת שלהן, שאמורה היתה למנוע ממפעילות שירותי המייל לקרוא את התכתובות שעוברות בשרתיהן להפוך את התוכן לגלוי רק לשני צדדי השיחה.

את הפרצה גילתה קבוצה של חוקרי אבטחה מאירופה, בראשות פרופ' סבסטיאן שינצל מאוניברסיטת מונסטר בגרמניה. הפרטים המלאים של הפרצות יפורסמו רק מחר, ואולם לדברי פרופ' שינצל הן כל כך קריטיות שהוא בחר לצאת באזהרה כבר עתה.

"הן יכולות לחשוף את הכתוב במיילים מוצפנים, כולל מיילים שנשלחו בעבר", כתב שינצל בחשבון הטוויטר שלו. "נכון לעכשיו, אין תיקונים אמינים. אם אתם משתמשים ב-PGP/GPG או S/MIME לתקשורת רגישה מאוד אתם צריכים לבטל אותן במייל שלכם לבינתיים". את ההמלצה הידהד גם ארגון EFF. "העצה שלנו היא להסיר כלים שמפענחים אוטומטית מיילים שהוצפנו ב-PGP", נכתב בהודעה שפרסם הארגון.

"הצפנת PGP מאפשרת לכל אחד ואפילו בקלות להצפין מסמכים ומידע ולשלוח את המידע הזה לנמען ספציפי שרק הוא יכול לפתוח את ההצפנה ולקרוא את המידע", הסביר ל"כלכליסט" המתכנת הבכיר רן בר-זיק. "אחד מהשימושים המרכזיים של ההצפנה הזו הוא במיילים. כיוון שמיילים עוברים בכמה שרתים גורמים רבים, ממשלתיים ופרטיים, יכולים לשים את ידם על המייל, ולא מעט ארגונים וממשלות עושות את זה. אם המייל מוצפן הן רק יכולות לאגור את המיילים אך לא לקרוא אותם.

"לפיכך, יכולת הצפנת המייל קריטית למי שרוצה לשמור על המידע חסוי. בין אם מדובר במתנגדי שלטון, מדליפי מידע או גורמים יותר אפלים. ההצהרה על הפרצה שמאפשרת לפרוץ גם מיילים בדיעבד, מטרידה מאוד כיוון שיתכן שתאפשר לגורמים רבים לפתוח מיילים מוצפנים שכבר נמצאים אצלם. ישנן חלופות ל-PGP, אבל מי ששלח באמצעותה מייל מוצפן בעבר עלול לגלות שיש גורמים שממחר יכולים לקרוא אותו".

ההאקר והאקטיביסט נעם רותם הוסיף שייתכן שהפרצות לא ישפיעו על PGP עצמה: "מהמעט שכן יצא מסתמן כי PGP עדיין בטוחה לשימוש, והבעיה נמצאת בעיקר בתוכנות שהטמיעו אותה בלי בדיקות שגיאה מספיקות, שפוטנציאלית יכולות לחשוף חלק מהמידע הנשלח באופן מוצפן. "GnuPG, הארגון שעומד מאחורי ההצפנה, טוען כי PGP חסין כל עוד משתמשים בו כיאות, והחולשה שהתגלתה היא במספר ישומים שהטמיעו אותו ולא באלגוריתם עצמו".