Članak

#EFAIL ranjivost: Što korisnici PGP-a i S / MIME-a moraju učiniti trenutno

protection click fraud

Tim europskih istraživača tvrdi da je pronašao kritične ranjivosti u PGP / GPG i S / MIME. PGP, što je skraćenica za Prilično dobra privatnost, kôd se koristi za šifriranje komunikacija, obično e-pošte. S / MIME, što znači Secure / Multipurpose Internet Mail Extension, način je za potpisivanje i šifriranje moderne e-pošte i svih proširenih skupova znakova, privitaka i sadržaja koji sadrži. Ako želite istu razinu sigurnosti u e-pošti kao u šifriranim porukama od kraja do kraja, vjerojatno koristite PGP / S / MIME. I, trenutno su možda ranjivi na hakovanje.

Objavit ćemo kritične ranjivosti u PGP / GPG i S / MIME šifriranju e-pošte 2018-05-15 07:00 UTC. Mogli bi otkriti otvoreni tekst šifrirane e-pošte, uključujući šifriranu e-poštu poslanu u prošlosti. #efail 1/4

- Sebastian Schinzel (@seecurity) 14. svibnja 2018

Danny O'Brien i Gennie Genhart, pišu za EFF:

Skupina europskih istraživača sigurnosti objavila je upozorenje o nizu ranjivosti koje utječu na korisnike PGP-a i S / MIME-a. EFF je komunicirao s istraživačkim timom i može potvrditi da ove ranjivosti predstavljaju trenutnu pojavu rizik za one koji koriste ove alate za komunikaciju putem e-pošte, uključujući potencijalnu izloženost prošlim sadržajima poruke.

I:

Naš savjet, koji odražava savjet istraživača, jest da odmah onemogućite i / ili deinstalirajte alate koji automatski dešifriraju e-poštu šifriranu PGP-om. Dok se nedostaci opisani u radu šire ne razumiju i ne otklone, korisnici bi se trebali dogovoriti za upotrebu alternativne sigurne kanale s kraja na kraj, poput Signala, i privremeno zaustavite slanje, a posebno čitanje PGP šifriranih e-mail.

Dan Goodin u Ars Technica bilješke:

I Schinzel i post na blogu EFF-a uputili su pogođene na EFF upute za onemogućavanje dodataka u Thunderbirdu, macOS Mail-u i Outlooku. Upute govore samo o "onemogućavanju PGP integracije u klijentima e-pošte." Zanimljivo je da nema savjeta za uklanjanje PGP aplikacija poput Gpg4win, GNU Privacy Guard. Jednom kada se alati dodataka uklone iz Thunderbirda, Maila ili Outlooka, EFF-ovi poručuju, "vaše e-adrese neće biti automatski dešifrirano. "Na Twitteru su službenici EFF-a rekli:" ne dešifrirajte šifrirane PGP poruke koje primate putem e-pošte klijent."

Werner Koch, iz GNU-ove garde Cvrkut račun i gnupg popis za slanje dohvatio izvještaj i uzvratio:

Tema ovog rada je da se HTML koristi kao stražnji kanal za stvaranje oraclea za modificirane šifrirane mailove. Odavno je poznato da su HTML mailovi, a posebice vanjske poveznice poput zla, ako ih MUA zaista poštuje (što se u međuvremenu čini da opet čine; pogledajte sve ove biltene). Zbog pokvarenih MIME parsera čini se da gomila MUA-a spaja dešifrirane HTML mime dijelove što olakšava postavljanje takvih HTML isječaka.

Postoje dva načina za ublažavanje ovog napada

  • Ne koristite HTML poštu. Ili ako ih stvarno trebate pročitati, upotrijebite odgovarajući MIME parser i zabranite pristup vanjskim vezama.

  • Koristite provjerenu enkripciju.

Ovdje se može puno toga procijediti, a istraživači će svoja otkrića javnosti objaviti tek sutra. Dakle, u međuvremenu, ako za šifriranu e-poštu koristite PGP i S / MIME, pročitajte članak EFF, pročitajte gnupg poštu, a zatim:

  • Ako se najmanje osjećate zabrinuto, privremeno onemogućite šifriranje e-pošte u Outlook, macOS Mail, Thunderbirditd. i prebacite se na nešto poput Signal, WhatsApp ili iMessage za sigurnu komunikaciju dok se prašina ne slegne.
  • Ako vas to ne brine, i dalje pripazite na priču i provjerite hoće li se što promijeniti tijekom sljedećih nekoliko dana.

Uvijek će biti iskorištavanja i ranjivosti, potencijalnih i dokazanih. Važno je da se otkrivaju etički, odgovorno prijavljuju i ekspeditivno im se obraća.

Ažurirat ćemo ovu priču kad se bude znalo više. U međuvremenu, dopustite mi ako koristite PGP / S / MIME za šifriranu e-poštu i, ako jeste, koji je vaš stav?

Ovo su najbolje bežične slušalice koje možete kupiti po svakoj cijeni!
Vrijeme je da presiječete kabel!

Ovo su najbolje bežične slušalice koje možete kupiti po svakoj cijeni!

Najbolje bežične slušalice su udobne, zvuče sjajno, ne koštaju previše i lako se stave u džep.

Sve što trebate znati o PS5: Datum izlaska, cijena i još mnogo toga
Iduća generacija

Sve što trebate znati o PS5: Datum izlaska, cijena i još mnogo toga.

Sony je službeno potvrdio da radi na PlayStationu 5. Evo svega što o tome zasad znamo.

Nokia lansira dva nova proračunska Android One telefona ispod 200 dolara
Nove Nokije

Nokia lansira dva nova proračunska Android One telefona ispod 200 dolara.

Nokia 2.4 i Nokia 3.4 najnoviji su dodaci proračunskoj liniji pametnih telefona tvrtke HMD Global. Budući da su oba Android One uređaja, zajamčeno će primati dva glavna ažuriranja OS-a i redovita sigurnosna ažuriranja do tri godine.

Ovo su najbolji bendovi za Fitbit Sense i Versa 3
Novo i poboljšano

Ovo su najbolji bendovi za Fitbit Sense i Versa 3.

Zajedno s izdanjem Fitbit Sense i Versa 3, tvrtka je također predstavila nove beskonačne bendove. Odabrali smo najbolje kako bismo vam olakšali posao.

instagram story viewer