Ein Team europäischer Forscher behauptet, kritische Schwachstellen in PGP / GPG und S / MIME gefunden zu haben. PGP, das für Pretty Good Privacy steht, ist ein Code, der zum Verschlüsseln von Kommunikation verwendet wird, üblicherweise für E-Mails. S / MIME, das für Secure / Multipurpose Internet Mail Extension steht, ist eine Möglichkeit, moderne E-Mails und alle darin enthaltenen erweiterten Zeichensätze, Anhänge und Inhalte zu signieren und zu verschlüsseln. Wenn Sie in E-Mails dieselbe Sicherheitsstufe wünschen wie in End-to-End-verschlüsselten Nachrichten, verwenden Sie wahrscheinlich PGP / S / MIME. Und im Moment sind sie möglicherweise anfällig für Hacks.
Wir werden kritische Schwachstellen in der PGP / GPG- und S / MIME-E-Mail-Verschlüsselung am 15.05.2018 um 07:00 UTC veröffentlichen. Sie können den Klartext verschlüsselter E-Mails anzeigen, einschließlich verschlüsselter E-Mails, die in der Vergangenheit gesendet wurden. #efail 1/4
- Sebastian Schinzel (@seecurity) 14. Mai 2018
Danny O'Brien und Gennie Genhart, die für schreiben Der EFF:
Eine Gruppe europäischer Sicherheitsforscher hat eine Warnung vor einer Reihe von Sicherheitslücken veröffentlicht, die Benutzer von PGP und S / MIME betreffen. EFF hat mit dem Forschungsteam kommuniziert und kann bestätigen, dass diese Sicherheitslücken eine unmittelbare Gefahr darstellen Risiko für diejenigen, die diese Tools für die E-Mail-Kommunikation verwenden, einschließlich der potenziellen Offenlegung von Inhalten der Vergangenheit Mitteilungen.
Und:
Unser Rat, der den der Forscher widerspiegelt, lautet: Deaktivieren und / oder deinstallieren Sie sofort Tools, die PGP-verschlüsselte E-Mails automatisch entschlüsseln. Bis die in dem Papier beschriebenen Mängel besser verstanden und behoben sind, sollten Benutzer die Verwendung von veranlassen alternative sichere End-to-End-Kanäle wie Signal und hören vorübergehend auf, PGP-verschlüsselt zu senden und insbesondere zu lesen Email.
Dan Goodin bei Ars Technica Anmerkungen:
Sowohl Schinzel als auch der EFF-Blogbeitrag verwiesen die Betroffenen auf EFF-Anweisungen zum Deaktivieren von Plug-Ins in Thunderbird, macOS Mail und Outlook. Die Anweisungen lauten nur "Deaktivieren der PGP-Integration in E-Mail-Clients". Interessanterweise gibt es keinen Rat, PGP-Apps wie Gpg4win oder GNU Privacy Guard zu entfernen. Sobald die Plugin-Tools aus Thunderbird, Mail oder Outlook entfernt wurden, heißt es in den EFF-Posts: "Ihre E-Mails werden nicht automatisch gesendet entschlüsselt. "Auf Twitter sagten EFF-Beamte weiter:" Entschlüsseln Sie keine verschlüsselten PGP-Nachrichten, die Sie mit Ihrer E-Mail erhalten Klient."
Werner Koch vom GNU Privacy Guard Twitter Konto und die gnupg Mailingliste habe den Bericht erhalten und erwidert:
Das Thema dieses Dokuments ist, dass HTML als Rückkanal verwendet wird, um ein Orakel für modifizierte verschlüsselte E-Mails zu erstellen. Es ist seit langem bekannt, dass HTML-Mails und insbesondere externe Links wie böse sind, wenn die MUA sie tatsächlich anerkennt (was viele inzwischen wieder zu tun scheinen; siehe alle diese Newsletter). Aufgrund defekter MIME-Parser scheinen eine Reihe von MUAs entschlüsselte HTML-Mime-Teile zu verketten, was das Einpflanzen solcher HTML-Snippets erleichtert.
Es gibt zwei Möglichkeiten, diesen Angriff abzuschwächen
Verwenden Sie keine HTML-Mails. Oder wenn Sie sie wirklich lesen müssen, verwenden Sie einen geeigneten MIME-Parser und lassen Sie keinen Zugriff auf externe Links zu.
Verwenden Sie eine authentifizierte Verschlüsselung.
Hier gibt es viel zu sichten und die Forscher veröffentlichen ihre Ergebnisse erst morgen für die Öffentlichkeit. Wenn Sie in der Zwischenzeit PGP und S / MIME für verschlüsselte E-Mails verwenden, lesen Sie den EFF-Artikel, lesen Sie die Gnupg-Mail und dann:
- Wenn Sie sich am wenigsten besorgt fühlen, deaktivieren Sie vorübergehend die E-Mail-Verschlüsselung in Ausblick, macOS Mail, Thunderbird, etc. und wechseln Sie zu Signal, WhatsApp oder iMessage, um eine sichere Kommunikation zu gewährleisten, bis sich der Staub gelegt hat.
- Wenn Sie nicht besorgt sind, behalten Sie die Geschichte im Auge und prüfen Sie, ob sich in den nächsten Tagen etwas ändert.
Es wird immer Exploits und Schwachstellen geben, potenzielle und bewährte. Wichtig ist, dass sie ethisch offengelegt, verantwortungsbewusst gemeldet und schnell angesprochen werden.
Wir werden diese Geschichte aktualisieren, sobald mehr bekannt wird. Lassen Sie mich in der Zwischenzeit wissen, ob Sie PGP / S / MIME für verschlüsselte E-Mails verwenden, und wenn ja, wie sehen Sie das?
Dies sind die besten kabellosen Ohrhörer, die Sie zu jedem Preis kaufen können!
Die besten kabellosen Ohrhörer sind bequem, klingen großartig, kosten nicht zu viel und passen problemlos in eine Tasche.
Alles, was Sie über die PS5 wissen müssen: Erscheinungsdatum, Preis und mehr.
Sony hat offiziell bestätigt, dass es auf der PlayStation 5 funktioniert. Hier ist alles, was wir bisher darüber wissen.
Nokia bringt zwei neue preisgünstige Android One-Handys unter 200 US-Dollar auf den Markt.
Nokia 2.4 und Nokia 3.4 sind die neuesten Ergänzungen im Budget-Smartphone-Sortiment von HMD Global. Da es sich bei beiden Geräten um Android One-Geräte handelt, erhalten sie garantiert bis zu drei Jahre lang zwei wichtige Betriebssystemupdates und regelmäßige Sicherheitsupdates.
Dies sind die besten Bands für Fitbit Sense und Versa 3.
Mit der Veröffentlichung von Fitbit Sense und Versa 3 führte das Unternehmen auch neue Infinity-Bänder ein. Wir haben die besten ausgewählt, um Ihnen die Arbeit zu erleichtern.