El grupo de seguridad checoslovaco ICZ, que a lo largo de la semana ha advertido sobre las vulnerabilidades encontradas en el software de encriptación PGP, ha ofrecido más detalles sobre el defecto encontrado, el cual parece inherente a OpenPGP, el formato de seguridad propuesto como un estándar en relación a la encriptación y firmas digitales.
El formato ha sido utilizado en otras aplicaciones aparte de PGP, entre las que se incluyen GNU Privacy Guard.
Por su parte, la compañía asegura que el ataque deja al descubierto las claves privadas en la versión 7.0.3 de PGP, la cual es considerada como altamente segura. Así, Vlastimil Klima y Tomas Rosa, criptólogos de ICZ, han tachado la protección ofrecida por OpenPGP de ·ilusoria, apuntando que, un posible atacante podría no necesitar la clave en si, sino que simplemente bastaría con evitarla tanto como la clave del usuario. Una leve modificación del fichero de clave privada seguido de la captura y firma del mensaje es suficiente para romper dicha clave privada, advierte el consejero. Así, la clave de un usuario podría ser calculada y el atacante puede firmar cualquier mensaje haciéndose pasar por el usuario original.
Un análisis completo del formato OpenPGP ha puesto al descubierto serios defectos que hacen que las aplicaciones basadas en él sean vulnerables. Defectos similares a estos pueden aparecer en otros sistemas criptográficos asimétricos, incluyendo sistemas basados en curvas elípticas, han asegurado Klima y Rosa.
