Екип от европейски изследователи твърди, че е открил критични уязвимости в PGP / GPG и S / MIME. PGP, което означава „Pretty Good Privacy“, е код, използван за криптиране на комуникации, обикновено имейл. S / MIME, което означава Secure / Multipurpose Internet Mail Extension, е начин за подписване и криптиране на съвременна електронна поща и всички разширени набори от знаци, прикачени файлове и съдържание, което съдържа. Ако искате същото ниво на защита на електронната поща, както и при криптирани съобщения от край до край, вероятно използвате PGP / S / MIME. И в момента те може да са уязвими за хакове.
Ще публикуваме критични уязвимости в PGP / GPG и S / MIME криптиране на имейли на 15 май 2018 г. 07:00 UTC. Те могат да разкрият обикновения текст на криптирани имейли, включително криптирани имейли, изпратени в миналото. #efail 1/4
- Себастиан Шинцел (@seecurity) 14 май 2018 г.
Дани О'Брайън и Гени Генхарт, писател за EFF:
Група европейски изследователи по сигурността пуснаха предупреждение за набор от уязвимости, засягащи потребителите на PGP и S / MIME. EFF поддържа комуникация с изследователския екип и може да потвърди, че тези уязвимости представляват незабавно риск за тези, които използват тези инструменти за комуникация по имейл, включително потенциалната експозиция на съдържанието от миналото съобщения.
И:
Нашият съвет, който отразява този на изследователите, е да незабавно деактивирайте и / или деинсталирайте инструменти, които автоматично дешифрират PGP-криптиран имейл. Докато недостатъците, описани в статията, станат по-широко разбрани и отстранени, потребителите трябва да организират използването на алтернативни защитени канали от край до край, като например Signal, и временно спрете да изпращате и особено четете PGP-криптирани електронна поща.
Дан Гудин в Ars Technica бележки:
Както Schinzel, така и публикацията в блога на EFF насочиха засегнатите към инструкциите на EFF за деактивиране на приставки в Thunderbird, macOS Mail и Outlook. Инструкциите казват само за „деактивиране на интеграцията на PGP в имейл клиенти“. Интересното е, че няма съвет за премахване на PGP приложения като Gpg4win, GNU Privacy Guard. След като инструментите за приставки бъдат премахнати от Thunderbird, Mail или Outlook, публикациите на EFF казват: „Вашите имейли няма да бъдат автоматично декриптиран. "В Twitter служителите на EFF продължиха:„ не дешифрирайте криптирани PGP съобщения, които получавате с помощта на вашия имейл клиент. "
Вернер Кох, на GNU Privacy Guard Twitter акаунт и gnupg пощенски списък получиха доклада и отвърнаха:
Темата на тази статия е, че HTML се използва като заден канал за създаване на оракул за модифицирани криптирани пощи. Отдавна е известно, че HTML пощите и по-специално външните връзки като са зли, ако MUA всъщност ги почита (което мнозина междувременно изглежда правят отново; вижте всички тези бюлетини). Поради счупените MIME парсери, куп MUA изглежда обединяват декриптирани HTML mime части, което улеснява поставянето на такива HTML фрагменти.
Има два начина за смекчаване на тази атака
Не използвайте HTML поща. Или ако наистина трябва да ги прочетете, използвайте подходящ MIME парсер и забранете всеки достъп до външни връзки.
Използвайте удостоверено криптиране.
Тук има какво да се пресее и изследователите не разкриват своите открития на обществеността до утре. Така че, междувременно, ако използвате PGP и S / MIME за криптиран имейл, прочетете статията EFF, прочетете gnupg пощата и след това:
- Ако се чувствате най-малко загрижени, временно деактивирайте криптирането на имейл в Outlook, macOS Mail, Thunderbirdи т.н. и превключете на нещо като Signal, WhatsApp или iMessage за сигурна комуникация, докато прахът се уталожи.
- Ако не ви притеснява, все пак следете историята и вижте дали нещо ще се промени през следващите няколко дни.
Винаги ще има експлойти и уязвимости, потенциални и доказани. Важното е, че те се разкриват етично, докладват се отговорно и се обръщат бързо към тях.
Ще актуализираме тази история, когато стане известно повече. Междувременно, позволете ми, ако използвате PGP / S / MIME за криптиран имейл и ако да, какъв е вашият подход?
Това са най-добрите безжични слушалки, които можете да закупите на всяка цена!
Най-добрите безжични слушалки са удобни, звучат страхотно, не струват прекалено много и лесно се побират в джоба.
Всичко, което трябва да знаете за PS5: Дата на издаване, цена и много други.
Sony официално потвърди, че работи по PlayStation 5. Ето всичко, което знаем за него до момента.
Nokia пуска два нови бюджетни телефона Android One под $ 200.
Nokia 2.4 и Nokia 3.4 са най-новите допълнения към бюджетната гама смартфони на HMD Global. Тъй като и двете са устройства с Android One, гарантирано ще получат две основни актуализации на ОС и редовни актуализации на защитата до три години.
Това са най-добрите ленти за Fitbit Sense и Versa 3.
Заедно с пускането на Fitbit Sense и Versa 3, компанията представи и нови безкрайни ленти. Избрахме най-добрите, за да улесним нещата за вас.