Podczas wyświetlania szczegółów klucza OpenPGP w programie Thunderbird może zostać wyświetlone ostrzeżenie, że klucz zawiera niebezpieczne właściwości. Ten artykuł wyjaśnia znaczenie tego ostrzeżenia.
Tło problemu
OpenPGP używa kluczy prywatnych i publicznych, które zawierają takie właściwości, jak nazwy użytkowników, adresy e-mail, dodatkowe klucze podrzędne, informacje o ważności i wygaśnięciu i inne. Te właściwości klucza używają podpisu cyfrowego, aby udowodnić, że zostały dodane lub zmienione przez właściciela klucza, a nie przez kogoś innego. Na przykład, jeśli właściciel klucza zaktualizował właściwość daty wygaśnięcia klucza OpenPGP, modyfikacja ta wymaga podpisu, który jest dodawany do klucza OpenPGP.
Podpis cyfrowy wykorzystuje technologię kryptograficzną łączącą wiele algorytmów w celu uzyskania dowodu autentyczności, którego nie da się łatwo sfałszować. Ponieważ komputery stają się z czasem coraz potężniejsze, algorytmy, które w przeszłości były uważane za bezpieczne, dziś mogą już nie być za takie uważane. Na przykład stosowanie algorytmu SHA-1 nie jest już zalecane, ponieważ możliwe są pewne ataki na ten algorytm. Pomimo tego, że to zalecenie ma już kilka lat, niektórzy użytkownicy mogą być nieświadomi i nadal używać starego oprogramowania OpenPGP lub konfiguracji oprogramowania, która powoduje użycie SHA-1.
Thunderbird 91.8.0
Thunderbird w wersjach 91.8.0 i 91.8.1 zawiera zmianę polegającą na odrzucaniu podpisów zawierających słabe algorytmy w zależności od tego, kiedy podpis został utworzony. W rezultacie podpisy wykorzystujące SHA-1 były odrzucane, jeśli zostały utworzone po połowie stycznia 2019 roku.
Po wydaniu wersji 91.8.0 więcej niż oczekiwano użytkowników zgłosiło, że nie jest już w stanie używać swoich kluczy OpenPGP. W oparciu o naszą analizę, algorytm SHA-1 był wykorzystywany we wszystkich zgłoszonych scenariuszach.
Thunderbird 91.9.0
Aby dać więcej czasu na odejście od SHA-1, Thunderbird w wersji 91.9.0 został zmieniony tak, aby był mniej rygorystyczny niż 91.8.0. W 91.9.0 podpisy SHA-1 będą ponownie działać na właściwościach kluczy OpenPGP i dla podpisów unieważnień kluczy. Dlatego użytkownicy, których to dotyczy, będą mogli używać swoich kluczy w Thunderbirdzie do czasu, aż SHA-1 zostanie całkowicie wycofany w przyszłej wersji.
Jednak inne słabe algorytmy, takie jak MD5, będą nadal odrzucane. SHA-1 będzie również nadal odrzucany dla podpisów wiadomości e-mail utworzonych po połowie stycznia 2019 roku.
Odrzucanie SHA-1 w przyszłych wersjach Thunderbirda
Twórcy Thunderbirda nadal zamierzają w przyszłości całkowicie odrzucić użycie SHA-1 w kluczach OpenPGP, ale zdecydowano, że potrzeba więcej czasu na okres przejściowy i że Thunderbird również powinien wprowadzić takie zmiany, by ułatwić użytkownikom wymagane przejście. Jeśli zarządzasz swoimi tajnymi kluczami OpenPGP za pomocą Thunderbirda, przyszła wersja programu pomoże ci uaktualnić klucz.
Inne oprogramowanie
Inne oprogramowanie OpenPGP może już odrzucać klucze na podstawie tych niebezpiecznych właściwości lub może to zrobić w przyszłości. Jeśli zobaczysz to ostrzeżenie dla klucza publicznego jednego z twoich korespondentów, powinieneś poprosić go o uaktualnienie klucza, aby nie używał już SHA-1, lub o zmianę klucza na nowy.
