Quando si visualizzano i dettagli di una chiave OpenPGP in Thunderbird, potrebbe essere visualizzato un avviso che la chiave contiene proprietà non sicure. Questo articolo spiega il significato dell'avviso.
Premessa
OpenPGP utilizza chiavi private e pubbliche che contengono proprietà come nomi utente, indirizzi email, chiavi secondarie aggiuntive, informazioni sulla validità e sulla scadenza e altro ancora. Queste proprietà di una chiave utilizzano firme digitali per dimostrare che sono state effettivamente aggiunte o modificate dal proprietario della chiave e non da qualcun altro. Ad esempio, se il proprietario di una chiave ha aggiornato la proprietà della data di scadenza di una chiave OpenPGP, la modifica implica una firma che viene aggiunta alla chiave OpenPGP.
Una firma digitale utilizza una tecnologia crittografica che combina molteplici algoritmi al fine di produrre una prova di autenticità che non può essere facilmente falsificata. Poiché i computer nel corso degli anni sono diventati sempre più potenti, gli algoritmi che in passato erano considerati sicuri, oggi potrebbero non essere più considerati sicuri. Ad esempio, l'utilizzo dell'algoritmo SHA-1 hash non è più consigliato perché sono possibili determinati attacchi all'algoritmo. Nonostante questa raccomandazione abbia diversi anni, alcuni utenti potrebbero non esserne a conoscenza e utilizzare ancora un vecchio software (programma) OpenPGP o una configurazione del software che privilegia l'utilizzo sconsigliato dell'algoritmo SHA-1.
Thunderbird 91.8.0
Le versioni 91.8.0 e 91.8.1 di Thunderbird, contenevano una modifica per rifiutare le firme che coinvolgevano algoritmi non sicuri a seconda di quando era stata creata la firma. Di conseguenza, le firme che utilizzavano l'algoritmo SHA-1 venivano rifiutate se create dopo la metà di gennaio 2019.
Dopo il rilascio della versione 91.8.0, più utenti del previsto hanno riferito di non essere più in grado di utilizzare le chiavi OpenPGP interessate dal problema. Sulla base delle analisi condotte dagli sviluppatori di Thunderbird, l'algoritmo SHA-1 risultava coinvolto in tutti gli scenari segnalati dagli utenti.
Thunderbird 91.9.0
Per consentire più tempo per la transizione dall'algoritmo SHA-1 a un algoritmo più recente e sicuro, la versione 91.9.0 di Thunderbird è stata modificata per essere meno "rigida" rispetto alla versione 91.8.0. Nella versione 91.9.0, le firme che utilizzano l'algoritmo SHA-1 funzioneranno di nuovo nelle proprietà delle chiavi OpenPGP e per le firme sulle revoche delle chiavi. Pertanto, gli utenti interessati potranno utilizzare la loro chiave con Thunderbird fino a quando l'algoritmo SHA-1 non sarà completamente deprecato in una versione futura.
Tuttavia, altri algoritmi non sicuri come MD5 (Message Digest 5) continueranno a essere rifiutati e l'algoritmo SHA-1 continuerà anche a essere rifiutato per le firme di messaggi di posta elettronica creati dopo la metà di gennaio 2019.
Rifiuto dell'algoritmo SHA-1 in una versione futura di Thunderbird
Gli sviluppatori di Thunderbird intendono ancora rifiutare completamente l'uso dell'algoritmo SHA-1 nelle chiavi OpenPGP in futuro, ma è stato deciso che è necessario più tempo per il periodo di transizione e che Thunderbird dovrebbe anche implementare delle modifiche per assistere gli utenti nella transizione richiesta. Se l'utente gestisce le sue chiavi segrete OpenPGP con Thunderbird, una versione futura lo aiuterà ad aggiornare la sua chiave.
Altri software
Altri software OpenPGP potrebbero già rifiutare una chiave basata su queste proprietà non sicure o potrebbero farlo in futuro. Se si visualizza questo avviso per la chiave pubblica di uno dei propri corrispondenti, si dovrebbe chiedergli di aggiornare la sua chiave per non utilizzare più l'algoritmo SHA-1 o di passare a una nuova chiave.
