Confronta le versioni

Le proprietà non sicure delle chiavi OpenPGP potrebbero essere ignorate da Thunderbird

Versione 243093:

Versione 243093 di michro del

Versione 243342:

Versione 243342 di michro del

Parole chiave:

Sommario dei risultati della ricerca:

Se Thunderbird segnala inaspettatamente che una chiave OpenPGP è scaduta o non mostra alcune proprietà previste, la chiave potrebbe avere proprietà non sicure. Questo articolo spiega come procedere.
Se Thunderbird segnala inaspettatamente che una chiave OpenPGP è scaduta o non mostra alcune proprietà previste, la chiave potrebbe avere proprietà non sicure. Questo articolo spiega come procedere.

Contenuti:

Durante l'elaborazione delle chiavi OpenPGP, in Thunderbird vengono ignorate le proprietà delle chiavi create con un programma ("software") OpenPGP utilizzando meccanismi non sicuri. Infatti, le firme create con un programma OpenPGP obsoleto possono essere basate su algoritmi non sicuri. Dalla versione 91.8.0 in poi, Thunderbird non accetta più firme OpenPGP che coinvolgono algoritmi non sicuri come l'[https://en.wikipedia.org/wiki/SHA-1 algoritmo SHA-1 hash] e creati dopo il 15-01-2019. Questo vale per le firme dei messaggi OpenPGP così come per le firme delle chiavi OpenPGP modificate. Ad esempio, se il proprietario di una chiave ha aggiornato la proprietà relativa alla data di scadenza di una chiave OpenPGP, la modifica implica una firma che viene aggiunta alla chiave OpenPGP. Thunderbird ignorerà le firme di chiavi non sicure e potrebbe segnalare la chiave OpenPGP come scaduta o non mostrare alcune proprietà della chiave. Per risolvere questo problema, il proprietario della chiave deve aggiornare il proprio programma OpenPGP alla versione più recente, ripetere le modifiche alla chiave e quindi condividere la chiave pubblica aggiornata. Alcuni programmi OpenPGP potrebbero richiedere una configurazione aggiornata per garantire che vengano utilizzati algoritmi di ultima generazione durante la modifica delle chiavi.
Quando si visualizzano i dettagli di una chiave OpenPGP in Thunderbird, potrebbe essere visualizzato un avviso che la chiave contiene proprietà non sicure. Questo articolo spiega il significato dell'avviso. == Antefatto == OpenPGP utilizza chiavi private e pubbliche che contengono proprietà come nomi utente, indirizzi email, chiavi secondarie aggiuntive, informazioni sulla validità e sulla scadenza e altro ancora. Queste proprietà di una chiave utilizzano firme digitali per dimostrare che sono state effettivamente aggiunte o modificate dal proprietario della chiave e non da qualcun altro. Ad esempio, se il proprietario di una chiave ha aggiornato la proprietà della data di scadenza di una chiave OpenPGP, la modifica implica una firma che viene aggiunta alla chiave OpenPGP. Una firma digitale utilizza una tecnologia crittografica che combina molteplici algoritmi al fine di produrre una prova di autenticità che non può essere facilmente falsificata. Poiché i computer nel corso degli anni sono diventati sempre più potenti, gli algoritmi che in passato erano considerati sicuri, oggi potrebbero non essere più considerati sicuri. Ad esempio, l'utilizzo dell'[https://en.wikipedia.org/wiki/SHA-1 algoritmo SHA-1 hash] non è più consigliato perché sono possibili determinati attacchi all'algoritmo. Nonostante questa raccomandazione abbia diversi anni, alcuni utenti potrebbero non esserne a conoscenza e utilizzare ancora un vecchio software (programma) OpenPGP o una configurazione del software che causa l'utilizzo dell'algoritmo SHA-1. == Thunderbird 91.8.0 == Le versioni 91.8.0 e 91.8.1 di Thunderbird, contenevano una modifica per rifiutare le firme che coinvolgevano algoritmi non sicuri a seconda di quando era stata creata la firma. Di conseguenza, le firme che utilizzavano l'algoritmo SHA-1 venivano rifiutate se create dopo la metà di gennaio 2019. Dopo il rilascio della versione 91.8.0, più utenti del previsto hanno riferito di non essere più in grado di utilizzare le chiavi OpenPGP interessate dal problema. Sulla base delle analisi condotte dagli sviluppatori di Thunderbird, l'algoritmo SHA-1 risultava coinvolto in tutti gli scenari segnalati dagli utenti. == Thunderbird 91.9.0 == Per consentire più tempo per la transizione dall'algoritmo SHA-1 a un algoritmo più recente e sicuro, la versione 91.9.0 di Thunderbird è stata modificata per essere meno "rigida" rispetto alla versione 91.8.0. Nella versione 91.9.0, le firme che utilizzano l'algoritmo SHA-1 funzioneranno di nuovo nelle proprietà delle chiavi OpenPGP e per le firme sulle revoche delle chiavi. Pertanto, gli utenti interessati potranno utilizzare la loro chiave con Thunderbird fino a quando l'algoritmo SHA-1 non sarà completamente deprecato in una versione futura. Tuttavia, altri algoritmi non sicuri come [https://it.wikipedia.org/wiki/MD5 MD5] (Message Digest 5) continueranno a essere rifiutati e l'algoritmo SHA-1 continuerà anche a essere rifiutato per le firme di messaggi di posta elettronica creati dopo la metà di gennaio 2019. == Rifiuto dell'algoritmo SHA-1 in una versione futura di Thunderbird == Gli sviluppatori di Thunderbird intendono ancora rifiutare completamente l'uso dell'algoritmo SHA-1 nelle chiavi OpenPGP in futuro, ma è stato deciso che è necessario più tempo per il periodo di transizione e che Thunderbird dovrebbe anche implementare delle modifiche per assistere gli utenti nella transizione richiesta. Se l'utente gestisce le sue chiavi segrete OpenPGP con Thunderbird, una versione futura lo aiuterà ad aggiornare la sua chiave. == Altri software == Altri software OpenPGP potrebbero già rifiutare una chiave basata su queste proprietà non sicure o potrebbero farlo in futuro. Se si visualizza questo avviso per la chiave pubblica di uno dei propri corrispondenti, si dovrebbe chiedergli di aggiornare la sua chiave per non utilizzare più l'algoritmo SHA-1 o di passare a una nuova chiave.

Torna allo storico