При просмотре подробностей о ключе OpenPGP в Thunderbird может отображаться предупреждение, что ключ содержит небезопасные свойства. В этой статье объясняется значение этого предупреждения.
Окружение
OpenPGP использует закрытые и открытые ключи, содержащие такие свойства как имена пользователей, адреса электронной почты, дополнительные подчинённые ключи, информация о валидности и сроке действия и другое. Эти свойства ключа используют цифровые подписи для подтверждения, что они на самом деле была добавлены или изменены владельцем ключа, а не кем-то ещё. Например, если владелец ключа обновил свойство даты окончания срока действия ключа OpenPGP, это изменение включает подпись, которая добавляется к ключу OpenPGP.
Цифровая подпись использует криптографическую технологию, которая объединяет несколько алгоритмов для получения доказательства подлинности, которое сложно подделать. Поскольку компьютеры со временем стали более мощными, алгоритмы, которые считались безопасными в прошлом, сегодня могут больше не считаться безопасными. Например, использование алгоритма хэширования SHA-1 сейчас не рекомендуется из-за некоторых возможных атак на алгоритм. Несмотря на то, что этой рекомендации уже несколько лет, некоторые пользователи могут не знать и по-прежнему использовать старое программное обеспечение OpenPGP или конфигурацию программного обеспечения, которая вызывает использование SHA-1.
Thunderbird 91.8.0
Версии Thunderbird 91.8.0 и 91.8.1 содержали изменение для отклонения подписей, связанных с небезопасными алгоритмами, в зависимости от того, когда была создана подпись. В результате подписи, использующие SHA-1, отклонялись, если они были созданы после середины января 2019 года.
После выпуска 91.8.0 больше пользователей, чем ожидалось, сообщили, что они больше не могут использовать затронутые ключи OpenPGP. Основываясь на нашем анализе, SHA-1 был задействован во всех сообщенных сценариях.
Thunderbird 91.9.0
Чтобы предоставить больше времени для перехода от SHA-1, версия Thunderbird 91.9.0 стала в этом плане менее строгой, чем 91.8.0. В 91.9.0 подписи SHA-1 снова будут работать со свойствами ключей OpenPGP и для подписей при отзыве ключей. Таким образом, затронутые пользователи смогут использовать свой ключ с Thunderbird до тех пор, пока SHA-1 не станет полностью устаревшим в будущей версии.
Однако другие небезопасные алгоритмы, такие как MD5, по-прежнему будут отклоняться. И SHA-1 также будет по-прежнему отклоняться для подписей сообщений электронной почты, созданных после середины января 2019 года.
Отклонение SHA-1 в будущей версии Thunderbird
Разработчики Thunderbird по-прежнему намерены полностью отказаться от использования SHA-1 в ключах OpenPGP в будущем, но было решено, что для переходного периода потребуется больше времени, и что Thunderbird также следует внести изменения, чтобы помочь пользователям в необходимом переходе. Если вы управляете своими секретными ключами OpenPGP с помощью Thunderbird, будущая версия поможет вам обновить ваш ключ.
Другое программное обеспечение
Другое программное обеспечение OpenPGP может уже отклонить ключ на основе этих небезопасных свойств или может сделать это в будущем. Если вы видите это предупреждение для открытого ключа одного из ваших корреспондентов, вам следует попросить их либо обновить свой ключ, чтобы он больше не использовал SHA-1, либо переключиться на новый ключ.
