Et team af europæiske forskere hævder at have fundet kritiske sårbarheder i PGP / GPG og S / MIME. PGP, som står for Pretty Good Privacy, er kode, der bruges til at kryptere kommunikation, ofte e-mail. S / MIME, der står for Secure / Multipurpose Internet Mail Extension, er en måde at underskrive og kryptere moderne e-mail og alle de udvidede tegnsæt, vedhæftede filer og indhold, den indeholder. Hvis du vil have samme sikkerhedsniveau i e-mail, som du har i ende-til-ende krypteret meddelelse, er det sandsynligt, at du bruger PGP / S / MIME. Og lige nu kan de være sårbare over for hacks.
Vi offentliggør kritiske sårbarheder i PGP / GPG og S / MIME-e-mail-kryptering den 2018-05-15 07:00 UTC. De afslører muligvis almindelig tekst for krypterede e-mails, herunder krypterede e-mails sendt tidligere. #fejl 1/4
- Sebastian Schinzel (@seecurity) 14. maj 2018
Danny O'Brien og Gennie Genhart, skriver for EFF:
En gruppe europæiske sikkerhedsforskere har frigivet en advarsel om et sæt sårbarheder, der påvirker brugere af PGP og S / MIME. EFF har været i kommunikation med forskergruppen og kan bekræfte, at disse sårbarheder udgør en øjeblikkelig risiko for dem, der bruger disse værktøjer til e-mail-kommunikation, herunder den potentielle eksponering af fortidens indhold Beskeder.
Og:
Vores råd, der afspejler forskernes, er at deaktiver straks og / eller afinstallér værktøjer, der automatisk dekrypterer PGP-krypteret e-mail. Indtil de mangler, der er beskrevet i papiret, er mere forstået og løst, bør brugerne sørge for brugen af alternative ende-til-ende sikre kanaler, såsom Signal, og stop midlertidigt med at sende og især læse PGP-krypteret e-mail.
Dan Goodin kl Ars Technica noter:
Både Schinzel og EFF-blogindlægget henviste de berørte til EFF-instruktioner til deaktivering af plugins i Thunderbird, macOS Mail og Outlook. Instruktionerne siger kun at "deaktivere PGP-integration i e-mail-klienter." Interessant er der ingen råd om at fjerne PGP-apps som Gpg4win, GNU Privacy Guard. Når plugin-værktøjerne er fjernet fra Thunderbird, Mail eller Outlook, sagde EFF-indlæg, "dine e-mails bliver ikke automatisk dekrypteret. "På Twitter fortsatte EFF-embedsmænd med at sige:" dekrypter ikke krypterede PGP-meddelelser, som du modtager ved hjælp af din e-mail. klient."
Werner Koch, om GNU Privacy Guard Twitter konto og gnupg mailingliste fik fat i rapporten og svar:
Emnet for dette papir er, at HTML bruges som en bagkanal til at oprette et oracle til modificerede krypterede mails. Det har længe været kendt, at HTML-mails og især eksterne links som onde, hvis MUA faktisk ærer dem (hvilket mange i mellemtiden ser ud til at gøre igen; se alle disse nyhedsbreve). På grund af ødelagte MIME-parsere ser det ud til, at en masse MUA'er sammenkæder dekrypterede HTML-mime-dele, hvilket gør det nemt at plante sådanne HTML-uddrag.
Der er to måder at afbøde dette angreb på
Brug ikke HTML-mails. Eller hvis du virkelig har brug for at læse dem, skal du bruge en ordentlig MIME-parser og ikke tillade adgang til eksterne links.
Brug godkendt kryptering.
Der er meget at sejle igennem her, og forskerne frigiver ikke deres fund til offentligheden før i morgen. Så i mellemtiden, hvis du bruger PGP og S / MIME til krypteret e-mail, skal du læse EFF-artiklen, læse gnupg-mailen og derefter:
- Hvis du føler dig mindst bekymret, skal du midlertidigt deaktivere e-mail-kryptering i Outlook, macOS Mail, Thunderbird, etc. og skift til noget som Signal, WhatsApp eller iMessage for sikker kommunikation, indtil støvet lægger sig.
- Hvis du ikke er bekymret, skal du stadig holde øje med historien og se om noget ændrer sig de næste par dage.
Der vil altid være udnyttelser og sårbarheder, potentielle og dokumenterede. Hvad der er vigtigt er, at de afsløres etisk, rapporteres ansvarligt og behandles hurtigt.
Vi opdaterer denne historie, når mere bliver kendt. I mellemtiden, lad mig, hvis du bruger PGP / S / MIME til krypteret e-mail, og hvis ja, hvad tager du?
Dette er de bedste trådløse ørepropper, du kan købe til enhver pris!
De bedste trådløse øretelefoner er komfortable, lyder godt, koster ikke for meget og passer let i lommen.
Alt hvad du behøver at vide om PS5: Udgivelsesdato, pris og mere.
Sony har officielt bekræftet, at de arbejder på PlayStation 5. Her er alt, hvad vi ved om det hidtil.
Nokia lancerer to nye budget Android One-telefoner under $ 200.
Nokia 2.4 og Nokia 3.4 er de seneste tilføjelser til HMD Globals budget-smartphone-sortiment. Da de begge er Android One-enheder, modtager de garanteret to store OS-opdateringer og regelmæssige sikkerhedsopdateringer i op til tre år.
Dette er de bedste bands til Fitbit Sense og Versa 3.
Sammen med frigivelsen af Fitbit Sense og Versa 3 introducerede virksomheden også nye uendelige bands. Vi har valgt de bedste for at gøre tingene lettere for dig.