Due dei sistemi più usati per cifrare email – PGP e S/Mime – sono vulnerabili ad attacchi in grado di leggere i contenuti cifrati. Lo hanno rivelato ieri sera alcuni ricercatori europei che domani  pubblicheranno tutti i dettagli tecnici. Nel frattempo però invitano gli utenti a non utilizzare questi metodi di cifratura dai loro client di posta. Le vulnerabilità individuate dai ricercatori, guidati da Sebastian Schinzel, professore di sicurezza informatica alla Munster University of Applied Sciences, “potrebbero rivelare il testo in chiaro delle mail cifrate, incluse mail cifrate che si sono inviate in passato”. Inoltre, ha scritto il professore su Twitter, “non esistono in questo momento delle soluzioni affidabili per la vulnerabilità rilevata. Se usate PGP/GPG o S/MIME per comunicazioni molto sensibili, dovreste disabilitarli nel vostri client di email il prima possibile”.
Oltre ai tweet di Schinzel, c’è un articolo della ong per i diritti digitali Electronic Frontier Foundation, che è stata in contatto coi ricercatori e che “conferma che queste vulnerabilità pongono un rischio immediato per chi usa questi strumenti per la comunicazione email, inclusa la possibile esposizione di contenuti di messaggi passati”. Il consiglio della EFF e dei ricercatori è di disabilitare immediatamente o disinstallare gli strumenti che decifrano in automatico le mail cifrate con PGP. Il riferimento è a plugin di Thunderbird (Enigmail), macOS Mail (GPGTools), and Outlook (Gpg4win) che integrano PGP nelle mail. E finche’ le vulnerabilita’ descritte nel paper pubblicato domani non saranno meglio analizzate e comprese, il consiglio dei ricercatori e’ di usare altri canali cifrati come Signal.
Approfondimenti
S/MIME è analogo a PGP e offre gli stessi servizi, ma adotta formati diversi ed incompatibili. Diversamente da PGP, che usa un sistema web of trust per la distribuzione delle chiavi pubbliche, i corrispondenti che usano S/MIME necessitano di una Certification Authority, che compie diverse operazioni di autenticazione e validazione del richiedente fino al rilascio di un certificato digitale.
Due caratteristiche fondamentali sono la firma digitale e la “busta digitale” (digital envelope): la chiave simmetrica utilizzata per crittografare il messaggio viene cifrata con la chiave pubblica del destinatario e inviata assieme al messaggio stesso. Oltre a garantire l’integrità e la riservatezza del messaggio, S/MIME prevede l’autenticazione del proprietario di una chiave pubblica tramite certificati digitali.