Adobe a postat din greșeală chei de decriptare pe blog-ul de securitate

Adobe a postat din greșeală chei de decriptare publice și private pe blogul de securitate, săptămâna trecută.

Săptămâna trecută, Echipa de răspuns la incidente de securitate a produselor Adobe (product security incident response team – PSIRT) a publicat din greșeală, vineri, cheia privată de decriptare, numită PGP (Pretty Good Privacy), într-o postare pe blog-ul PSIRT, conform zdnet.com.

Deși a fost repede ștearsă, postarea nu a împiedicat vizitatorii atenți să observe greșeala și să facă o captură de ecran a acesteia.

Pretty Good Privacy (PGP) este un sistem care, prin intermediul OpenPGP, permite utilizatorilor să trimită mesaje criptate pe internet, adăugând un nivel suplimentar e intimitate și securitate la comunicare. Acest sistem este de multe ori folosit pentru schimburi de mesaje private prin e-mail, și în timp ce criptează prin intermediul unei chei publice, mesajele sunt apoi decriptate prin intermediul unor chei private.

Dacă cheia privată de decriptare este disponibilă public, atunci întregul sistem se prăbușește.

Conform unui cercetător, o eroare de expediere ar fi cauzat problema, dar o simplă verificare înaintea publicării ar fi prevenit producerea nefericitului eveniment.

De vineri, postarea a fost șearsă repede, iar Adobe a emis o nouă cheie de decriptare, scrie ndtv.com.

Firma de securitate Sophos spune că este foarte puțin probabil ca cineva să fi folosit cheia privată publicată de la Adobe deoarece aceasta a fost revocată și era criptată folosind o frază de acces în momentul publicării, ceea ce înseamnă că nu putea fi aflată fără a ști un cod. Însă cheile private nu ar trebui făcute publice chiar dacă sunt stocate în formă criptată, conform cercetătorului Paul Ducklin al Sophos.

Unii cercetători au explicat de ce a avut loc această greșeală. Otto Kekalainen, CEO al Seravo.com, a precizat pe Twitter că „instrumentele PGP/GPG nu sunt create de experți în utilitate. Pentru o bună securitate, utilitatea contează.”