# सुरक्षित भेद्यता: अभी PGP और S / MIME उपयोगकर्ताओं को क्या करने की आवश्यकता है

यूरोपीय शोधकर्ताओं की एक टीम ने दावा किया है कि पीजीपी / जीपीजी और एस / माइम में महत्वपूर्ण कमजोरियां पाई गई हैं। पीजीपी, जो बहुत अच्छी गोपनीयता के लिए खड़ा है, कोड का उपयोग संचार, आमतौर पर ईमेल को एन्क्रिप्ट करने के लिए किया जाता है। S / MIME, जो सुरक्षित / बहुउद्देशीय इंटरनेट मेल एक्सटेंशन के लिए खड़ा है, आधुनिक ईमेल और सभी विस्तारित वर्ण सेट, अटैचमेंट और इसमें शामिल सामग्री को साइन और एन्क्रिप्ट करने का एक तरीका है। यदि आप ईमेल में समान स्तर की सुरक्षा चाहते हैं जैसा कि आपके पास एंड-टू-एंड एन्क्रिप्टेड मैसेजिंग है, तो संभव है कि आप PGP / S / MIME का उपयोग कर रहे हों। और, अभी, वे हैक करने के लिए असुरक्षित हो सकते हैं।

डैनी ओ'ब्रायन और गेनी जेनहार्ट, के लिए लेखन ईएफएफ:

यूरोपीय सुरक्षा शोधकर्ताओं के एक समूह ने PGP और S / MIME के ​​उपयोगकर्ताओं को प्रभावित करने वाली कमजोरियों के एक सेट के बारे में चेतावनी जारी की है। EFF अनुसंधान टीम के साथ संचार में रहा है, और यह पुष्टि कर सकता है कि ये भेद्यता एक तत्काल मुद्रा है ईमेल संचार के लिए इन उपकरणों का उपयोग करने वालों के लिए जोखिम, अतीत की सामग्री के संभावित जोखिम सहित संदेश।

instagram viewer

तथा:

हमारी सलाह, जो शोधकर्ताओं के लिए आईना है तुरंत उन टूल्स को निष्क्रिय और / या अनइंस्टॉल करें जो स्वचालित रूप से PGP-एन्क्रिप्टेड ईमेल को डिक्रिप्ट करते हैं। जब तक कागज में वर्णित खामियां अधिक व्यापक रूप से समझ और तय नहीं हो जाती हैं, तब तक उपयोगकर्ताओं को उपयोग की व्यवस्था करनी चाहिए वैकल्पिक अंत-से-अंत सुरक्षित चैनल, जैसे सिग्नल, और अस्थायी रूप से पीजीपी-एन्क्रिप्टेड भेजना और पढ़ना बंद कर दें ईमेल।

दान गुडीन पर आर्स टेक्नीका टिप्पणियाँ:

दोनों Schinzel और EFF ब्लॉग पोस्ट ने थंडरबर्ड, macOS मेल और आउटलुक में प्लग-इन को अक्षम करने के लिए EFF निर्देशों को प्रभावित करने वालों को संदर्भित किया। निर्देश केवल "ई-मेल क्लाइंट में PGP एकीकरण को अक्षम करने के लिए" कहते हैं। दिलचस्प बात यह है कि, Gpg4win, GNU Privacy Guard जैसे PGP ऐप्स को हटाने की कोई सलाह नहीं है। एक बार प्लगइन उपकरण थंडरबर्ड, मेल या आउटलुक से हटा दिए जाने के बाद, EFF पोस्ट्स ने कहा, "आपके ईमेल स्वचालित रूप से नहीं होंगे डिक्रिप्टेड। "ट्विटर पर, EFF अधिकारियों ने कहा:" एन्क्रिप्टेड PGP संदेशों को डिक्रिप्ट न करें जिन्हें आप अपने ईमेल का उपयोग करके प्राप्त करते हैं ग्राहक। "

GNU प्राइवेसी गार्ड पर वर्नर कोच ट्विटर खाता और gnupg मेलिंग सूची रिपोर्ट और मुंहतोड़ जवाब मिला:

उस पेपर का विषय यह है कि संशोधित एन्क्रिप्टेड मेल के लिए एक ओरेकल बनाने के लिए HTML का उपयोग बैक चैनल के रूप में किया जाता है। यह लंबे समय से ज्ञात है कि HTML मेल और विशेष रूप से बाहरी लिंक जैसे कि यदि MUA वास्तव में उनका सम्मान करता है (जो कि इस बीच फिर से करने लगते हैं, तो बुराई है; इन सभी समाचार पत्रों को देखें)। टूटे हुए MIME पार्सर के कारण MUAs का एक गुच्छा डिक्रिप्ट किए गए HTML माइम भागों को लगता है जिससे ऐसे HTML स्निपेट्स को लगाना आसान हो जाता है।

इस हमले को कम करने के दो तरीके हैं

• HTML मेल का उपयोग न करें। या अगर आपको वास्तव में उन्हें पढ़ने के लिए उचित MIME पार्सर का उपयोग करने की आवश्यकता है और बाहरी लिंक तक किसी भी पहुंच को अस्वीकार करें।

• प्रमाणित एन्क्रिप्शन का उपयोग करें।

यहाँ बहुत कुछ करने के लिए है और शोधकर्ताओं ने कल तक जनता के लिए अपने निष्कर्ष जारी नहीं कर रहे हैं। इस बीच, यदि आप एन्क्रिप्टेड ईमेल के लिए PGP और S / MIME का उपयोग करते हैं, तो EFF लेख पढ़ें, gnupg मेल पढ़ें, और फिर:

• यदि आप कम से कम संबंधित महसूस करते हैं, तो अस्थायी रूप से ईमेल एन्क्रिप्शन को अक्षम करें आउटलुक, macOS मेल, थंडरबर्ड, आदि। और धूल के बसने तक सुरक्षित संचार के लिए सिग्नल, व्हाट्सएप, या iMessage जैसी किसी चीज़ पर स्विच करें।
• यदि आप चिंतित नहीं हैं, तब भी कहानी पर नज़र रखें और देखें कि क्या अगले कुछ दिनों में कुछ बदल जाता है।

हमेशा शोषण और कमजोरियों, संभावित और सिद्ध होगा। यह महत्वपूर्ण है कि वे नैतिक रूप से प्रकट किए जाते हैं, जिम्मेदारी से रिपोर्ट किए जाते हैं, और तेजी से संबोधित किए जाते हैं।

हम इस कहानी को अपडेट करेंगे क्योंकि यह अधिक ज्ञात है। इस बीच, यदि आप एन्क्रिप्टेड ईमेल के लिए PGP / S / MIME का उपयोग करते हैं और यदि हां, तो आपका क्या है?