Un sabotage signe la fin des clés PGP de type SKS
Une attaque par SPAM de serveurs de clés de chiffrement PGP à l'aide de plusieurs dizaines de milliers de signatures condamne le réseau créer au cours des années 1990.
Quand on évoque PGP, on pense “sécurité”, notamment car les clés chiffrées permettent de vérifier l’authenticité d’un correspondant par email ou l’intégrité d’un logiciel.
D’irréparables dégâts
La réputation des clés PGP est cependant mise à mal aujourd’hui : une ou plusieurs personnes mal intentionnées ont volontairement saboté les signatures de deux développeurs d’OpenPGP, Robert J. Hansen et Daniel Kahn Gillmor, rajoutant plusieurs milliers de signatures sur les clés publiques de ces derniers. En conséquence, les applications permettant d’interpréter les clés telles que GnuPG ou Enigmail plantent lors de leur lecture.
Le fonctionnement ouvert et collectif de PGP permet de rajouter sa signature cryptographique à un certificat publique, par exemple si un doute subsiste sur son authenticité, à la condition qu’on connaisse son propriétaire. Les saboteurs ont tiré parti de cette ouverture pour ajouter des dizaines de milliers de signatures aux serveurs de clés synchronisés (Synchronizing Key Server, SKS) — le protocole PGP ayant été spécifiquement développé sans limite du nombre de signatures qu’il est possible d’attacher à un certificat.
L’attaque, aussi imparable que simple, est cependant irréversible, les clés ne pouvant être effacées et les serveurs SKS étant aujourd’hui écrits dans un code désuet. Selon Hansen cependant, PGP peut survivre sans les serveurs SKS : “PGP est endommagé, mais pas enterré”.