GNU Privacy Guard (GnuPG) es un criptosistema también bastante extendido que reemplaza según ellos mismos, totalmente a PGP. “Debido a que no utiliza IDEA ni RSA, se puede usar sin ningún tipo de restricciones. GnuPG es una aplicación conforme a las normativas del RFC2440 (OpenPGP).”

Investigadores de la universidad de Columbia y Counterpane Internet Security, Inc. descubrieron que si alguien interceptase un correo encriptado lo podría desencriptar simplemente repaquetando el mensaje y enviandolo al destinatario. Este mensaje le aparecería como un auténtico galimatías con lo que el receptor podría solicitar un reenvio del mismo. Si tenemos en cuenta que muchas veces se suele enviar el mensaje original (muchos usuarios lo tienen predeterminado así) con la solicitud del mismo, entonces el interceptor podría conseguir la clave para determinar el mensaje original.

Esto implica que se debe evitar incluir los mensajes enteros recibidos en los responsos o respuestas de los mismos.

Los dos programas PGP y GnuPG elegidos por ser dos de los programas de software de uso generalizado fueron los objetos de este estudio.

Conclusiones del estudio:

• Exitoso ataque contra GnuPG y PGP cuando los los ficheros o mensajes han sido enviados sin comprimir.

• En caso de envio de ficheros comprimidos (por ejemplo, un fichero .zip utilizando PGP), el ataque sigue teniendo éxito y puede ser utilizado para recuperar el mensaje original.

• Si la compresión ha sido realizada por el software de encriptación (cuando un fichero no comprimido ha sido enviado) provoca el fallo del ataque. En el caso de GnuPG cuando la compresión se utiliza el ataque falla debido solo a la presencia del chequeo de integridad del mensaje que no se requiere especificamente. Sin este chequeo los ataques tienen éxito en un 100% de las veces.

• Las herramientas que siguen estrictamente la especificación OpenPGP son vulnerables al ataque aún cuando el mensaje haya sido comprimido durante la encriptación.