مقالة سلعة

ثغرة #EFAIL: ما يحتاج مستخدمو PGP و S / MIME إلى فعله الآن

protection click fraud

يزعم فريق من الباحثين الأوروبيين أنهم اكتشفوا نقاط ضعف خطيرة في PGP / GPG و S / MIME. PGP ، التي تعني Pretty Good Privacy ، هي رمز يستخدم لتشفير الاتصالات ، والبريد الإلكتروني عادة. S / MIME ، التي تعني ملحق بريد الإنترنت الآمن / متعدد الأغراض ، هي طريقة لتوقيع وتشفير البريد الإلكتروني الحديث وجميع مجموعات الأحرف الموسعة والمرفقات والمحتوى الذي يحتوي عليه. إذا كنت تريد نفس مستوى الأمان في البريد الإلكتروني كما هو الحال في الرسائل المشفرة من طرف إلى طرف ، فمن المحتمل أنك تستخدم PGP / S / MIME. وفي الوقت الحالي ، قد يكونون عرضة للاختراق.

سننشر نقاط الضعف الحرجة في تشفير البريد الإلكتروني PGP / GPG و S / MIME في 2018-05-15 07:00 بالتوقيت العالمي. قد يكشفون عن نص عادي لرسائل البريد الإلكتروني المشفرة ، بما في ذلك رسائل البريد الإلكتروني المشفرة المرسلة في الماضي. # فشل 1/4

- سيباستيان شينزل (seecurity) 14 مايو 2018

داني أوبراين وجيني جينهارت يكتبان لـ EFF:

أصدرت مجموعة من الباحثين الأمنيين الأوروبيين تحذيرًا بشأن مجموعة من نقاط الضعف التي تؤثر على مستخدمي PGP و S / MIME. كانت EFF على اتصال بفريق البحث ، ويمكنها تأكيد أن هذه الثغرات الأمنية تشكل فورًا خطر على أولئك الذين يستخدمون هذه الأدوات للاتصال عبر البريد الإلكتروني ، بما في ذلك التعرض المحتمل لمحتويات الماضي الرسائل.

و:

نصيحتنا ، التي تعكس نصيحة الباحثين ، هي قم بتعطيل و / أو إلغاء تثبيت الأدوات التي تقوم تلقائيًا بفك تشفير البريد الإلكتروني المشفر باستخدام PGP. حتى يتم فهم العيوب الموضحة في الورقة وإصلاحها على نطاق أوسع ، يجب على المستخدمين الترتيب لاستخدام قنوات بديلة آمنة من طرف إلى طرف ، مثل Signal ، وتوقف مؤقتًا عن الإرسال وخاصة قراءة PGP المشفرة البريد الإلكتروني.

دان جودين في آرس تكنيكا ملاحظات:

قام كل من Schinzel و EFF بإحالة الأشخاص المتأثرين إلى تعليمات EFF لتعطيل المكونات الإضافية في Thunderbird و macOS Mail و Outlook. تنص التعليمات فقط على "تعطيل تكامل PGP في عملاء البريد الإلكتروني." من المثير للاهتمام أنه لا توجد نصيحة لإزالة تطبيقات PGP مثل Gpg4win و GNU Privacy Guard. بمجرد إزالة أدوات المكون الإضافي من Thunderbird أو Mail أو Outlook ، قالت منشورات EFF ، "لن يتم إرسال رسائل البريد الإلكتروني الخاصة بك تلقائيًا تم فك تشفيرها. "على Twitter ، ذهب مسؤولو EFF ليقولوا:" لا تقم بفك تشفير رسائل PGP المشفرة التي تتلقاها باستخدام بريدك الإلكتروني زبون."

ويرنر كوخ ، على GNU Privacy Guard تويتر حساب و قائمة بريدية gnupg حصلت على التقرير والردود:

موضوع هذه الورقة هو استخدام HTML كقناة خلفية لإنشاء أوراكل للرسائل المشفرة المعدلة. من المعروف منذ زمن طويل أن رسائل HTML البريدية وخاصة الروابط الخارجية مثل شريرة إذا كانت MUA تكرمها بالفعل (وهو ما يبدو أن الكثيرين يفعلونه مرة أخرى ؛ انظر كل هذه الرسائل الإخبارية). بسبب معطلات MIME المعطلة ، يبدو أن مجموعة من MUAs تسلسل أجزاء mime HTML التي تم فك تشفيرها مما يجعل من السهل زرع مقتطفات HTML هذه.

هناك طريقتان للتخفيف من هذا الهجوم

  • لا تستخدم رسائل HTML. أو إذا كنت تحتاج حقًا إلى قراءتها ، فاستخدم محلل MIME المناسب ولا تسمح بأي وصول إلى الروابط الخارجية.

  • استخدم التشفير المصدق.

هناك الكثير لتفحصه هنا والباحثون لا ينشرون نتائجهم للجمهور حتى يوم غد. لذلك ، في هذه الأثناء ، إذا كنت تستخدم PGP و S / MIME للبريد الإلكتروني المشفر ، اقرأ مقالة EFF ، واقرأ بريد gnupg ، ثم:

  • إذا كنت تشعر بأقل قدر من القلق ، فقم بتعطيل تشفير البريد الإلكتروني مؤقتًا في الآفاق, بريد macOS, ثندربيرد، إلخ. وانتقل إلى شيء مثل Signal أو WhatsApp أو iMessage للاتصال الآمن حتى يستقر الغبار.
  • إذا لم تكن مهتمًا ، فلا يزال عليك متابعة القصة ومعرفة ما إذا كان أي شيء يتغير خلال اليومين المقبلين.

ستكون هناك دائمًا الثغرات ونقاط الضعف المحتملة والمثبتة. المهم هو أن يتم الكشف عنها بشكل أخلاقي ، والإبلاغ عنها بشكل مسؤول ، والتعامل معها على وجه السرعة.

سنقوم بتحديث هذه القصة عندما يصبح معروفًا أكثر. في غضون ذلك ، دعني إذا كنت تستخدم PGP / S / MIME للبريد الإلكتروني المشفر ، وإذا كان الأمر كذلك ، فما هو رأيك؟

هذه هي أفضل سماعات أذن لاسلكية يمكنك شراؤها بكل سعر!
حان الوقت لقطع الحبل السري!

هذه هي أفضل سماعات أذن لاسلكية يمكنك شراؤها بكل سعر!

أفضل سماعات الأذن اللاسلكية مريحة ، وذات صوت رائع ، ولا تكلف الكثير ، ويمكن وضعها بسهولة في الجيب.

كل ما تحتاج لمعرفته حول PS5: تاريخ الإصدار والسعر والمزيد
الجيل القادم

كل ما تحتاج لمعرفته حول PS5: تاريخ الإصدار والسعر والمزيد.

أكدت شركة Sony رسميًا أنها تعمل على PlayStation 5. إليك كل ما نعرفه عنها حتى الآن.

أطلقت نوكيا هاتفين جديدين يعملان بنظام Android One بسعر أقل من 200 دولار
نوكياس الجديدة

أطلقت نوكيا هاتفين جديدين بنظام التشغيل Android One بسعر أقل من 200 دولار.

يعد Nokia 2.4 و Nokia 3.4 أحدث الإضافات إلى مجموعة الهواتف الذكية ذات الميزانية المحدودة من HMD Global. نظرًا لأن كلاهما يعمل بنظام Android One ، فمن المضمون تلقي تحديثين رئيسيين لنظام التشغيل وتحديثات أمنية منتظمة لمدة تصل إلى ثلاث سنوات.

هذه هي أفضل العصابات لـ Fitbit Sense و Versa 3
جديد ومحسّن

هذه هي أفضل العصابات لـ Fitbit Sense و Versa 3.

إلى جانب إصدار Fitbit Sense و Versa 3 ، قدمت الشركة أيضًا نطاقات إنفينيتي جديدة. لقد اخترنا أفضلها لتسهيل الأمور عليك.

instagram story viewer