Під час перегляду деталей ключа OpenPGP у Thunderbird може з’явитися попередження про те, що ключ містить небезпечні властивості. Ця стаття пояснює значення попередження.
Передумови
OpenPGP використовує приватні та відкриті ключі, які містять такі властивості, як імена користувачів, адреси електронної пошти, додаткові підключі, інформацію про дійсність та термін дії тощо. Ці властивості ключа використовують цифрові підписи, щоб підтвердити, що їх дійсно додав або змінив власник ключа, а не хтось інший. Наприклад, якщо власник ключа оновив властивість терміну дії ключа OpenPGP, зміна включає підпис, який додається до ключа OpenPGP.
Цифровий підпис використовує криптографічну технологію, яка поєднує кілька алгоритмів, щоб створити доказ автентичності, який неможливо легко підробити. Оскільки з часом комп’ютери стали потужнішими, алгоритми, які вважалися безпечними в минулому, сьогодні вже не вважаються такими. Наприклад, використання хешу алгоритму SHA-1 більше не рекомендовано, оскільки можливі певні атаки на алгоритм. Попри те, що ця рекомендація існує вже кілька років, деякі користувачі можуть не знати та досі використовувати старе програмне забезпечення OpenPGP або конфігурацію програмного забезпечення, яка спричиняє використання SHA-1.
Thunderbird 91.8.0
Версії Thunderbird 91.8.0 і 91.8.1 містили зміну щодо відхилення підписів із використанням небезпечних алгоритмів залежно від того, коли підпис було створено. У результаті підписи з використанням SHA-1 відхилялися, якщо вони були створені після середини січня 2019 року.
Після випуску 91.8.0 більше користувачів, ніж очікувалося, повідомили, що вони більше не можуть використовувати відповідні ключі OpenPGP. Згідно з нашим аналізом, SHA-1 брав участь у всіх повідомлених сценаріях.
Thunderbird 91.9.0
Щоб надати більше часу для переходу від SHA-1, версію Thunderbird 91.9.0 було змінено на менш жорстку, ніж 91.8.0. У 91.9.0 підписи SHA-1 знову працюватимуть над властивостями ключів OpenPGP і для підписів під час відкликання ключів. Таким чином, постраждалі користувачі зможуть використовувати свій ключ із Thunderbird, доки SHA-1 не буде повністю застарілим у майбутній версії.
Однак інші небезпечні алгоритми, як-от MD5, і надалі відхилятимуться. Крім того, SHA-1 буде й надалі відхилятися для підписів електронних повідомлень, створених після середини січня 2019 року.
Відмова від SHA-1 у майбутній версії Thunderbird
Розробники Thunderbird досі мають намір повністю відмовитися від використання SHA-1 у ключах OpenPGP у майбутньому, але було вирішено, що для перехідного періоду потрібно більше часу, і що Thunderbird також має внести зміни, щоб допомогти користувачам у необхідному переході. Якщо ви керуєте своїми таємними ключами OpenPGP за допомогою Thunderbird, майбутня версія допоможе вам оновити ваш ключ.
Інше програмне забезпечення
Інше програмне забезпечення OpenPGP може вже відхилити ключ на основі цих небезпечних властивостей або зробить це в майбутньому. Якщо ви бачите це попередження для відкритого ключа одного з ваших кореспондентів, ви повинні попросити їх оновити свій ключ, щоб більше не використовувати SHA-1, або перейти на новий ключ.
