Cikk

#EFAIL sebezhetőség: Mit kell tennie a PGP és az S / MIME felhasználóknak most

Egy európai kutatócsoport állítása szerint kritikus sebezhetőségeket talált a PGP / GPG és az S / MIME-ban. A PGP, amely a Pretty Good Privacy rövidítése, a kommunikáció, általában az e-mail titkosítására szolgál. Az S / MIME, amely a biztonságos / többcélú internetes e-mail kiterjesztést jelenti, egy módja a modern e-mail, valamint az összes kiterjesztett karakterkészlet, melléklet és tartalom aláírásának és titkosításának. Ha ugyanolyan szintű biztonságot szeretne az e-mailben, mint a végpontok közötti titkosított üzeneteknél, akkor valószínűleg PGP / S / MIME-t használ. És jelenleg sérülékenyek lehetnek a feltörésekkel szemben.

A kritikus sebezhetőségeket PGP / GPG és S / MIME e-mail titkosításban tesszük közzé 2018.05.15. 07:00 UTC-kor. A titkosított e-mailek egyszerű szövegét fedhetik fel, ideértve a múltban küldött titkosított e-maileket is. #fail 1/4

- Sebastian Schinzel (@biztonság) 2018. május 14

Danny O'Brien és Gennie Genhart, író: Az EHA:

Az európai biztonsági kutatók egy csoportja figyelmeztetést tett közzé a PGP és az S / MIME felhasználóit érintő biztonsági résekről. Az EFF kapcsolatban állt a kutatócsoporttal, és megerősítheti, hogy ezek a sebezhetőségek azonnal jelentkeznek az e-mail kommunikációra ezeket az eszközöket használók kockázata, ideértve a múlt tartalmának potenciális expozícióját is üzenetek.

És:

A kutatók véleményét tükröző tanácsunk az azonnal tiltsa le és / vagy távolítsa el azokat az eszközöket, amelyek automatikusan visszafejtik a PGP-vel titkosított e-maileket. Amíg a cikkben leírt hibákat szélesebb körben meg nem értik és kijavítják, a felhasználóknak gondoskodniuk kell a használatáról alternatív végponttól végpontig biztonságos csatornák, például Signal, és ideiglenesen hagyja abba a küldést és különösen a PGP-kódolású olvasást email.

Dan Goodin itt Ars Technica megjegyzések:

Mind a Schinzel, mind az EFF blogbejegyzése az érintetteknek az EFF utasításaira utalt a Thunderbird, a macOS Mail és az Outlook plug-injeinek letiltására. Az utasítások csak "a PGP-integráció letiltását az e-mail kliensekben" mondják. Érdekes módon nincs tanács a PGP-alkalmazások, például a Gpg4win, a GNU Privacy Guard eltávolítására. Miután eltávolította a plugin eszközöket a Thunderbirdből, a Mailből vagy az Outlookból, az EFF hozzászólásai szerint "az e-mailjei nem lesznek automatikusan visszafejtve. "A Twitteren az EFF tisztviselői a következőket mondták:" ne titkosítsd az e-mailed használatával kapott titkosított PGP-üzeneteket ügyfél."

Werner Koch, a GNU adatvédelmi őrségén Twitter számla és a gnupg levelezőlista kézbe kapta a jelentést és visszavonta:

A cikk témája, hogy a HTML-t hátsó csatornaként használják oracle létrehozására a módosított, titkosított levelek számára. Régóta ismert, hogy a HTML-mailek és különösen a külső hivatkozások hasonlóak, ha a MUA valóban tiszteletben tartja azokat (amit időközben sokan úgy tűnik, hogy meg is tesznek; lásd ezeket a hírleveleket). A megszakadt MIME-elemzők miatt egy csomó MUA úgy tűnik, hogy összefűzi a visszafejtett HTML-mime részeket, ami megkönnyíti az ilyen HTML-kódrészletek telepítését.

Kétféleképpen lehet enyhíteni ezt a támadást

  • Ne használjon HTML-leveleket. Vagy ha valóban el kell olvasnia őket, használjon megfelelő MIME-elemzőt, és tiltsa meg a külső hivatkozásokhoz való hozzáférést.

  • Használjon hitelesített titkosítást.

Sokat kell itt átszűrni, és a kutatók holnapig nem hozzák nyilvánosságra eredményeiket. Tehát, ha addig PGP-t és S / MIME-t használ titkosított e-mailekhez, olvassa el az EFF cikkét, olvassa el a gnupg levelet, majd:

  • Ha a legkevesebb aggodalmat érzi, tiltsa le ideiglenesen az e-mail titkosítást Outlook, macOS Mail, Thunderbirdstb. és váltson valamire, mint például a Signal, a WhatsApp vagy az iMessage a biztonságos kommunikáció érdekében, amíg a por le nem ereszkedik.
  • Ha nem érdekli, továbbra is figyelje a történetet, és nézze meg, változik-e valami a következő pár napban.

Mindig lesznek kihasználások és sebezhetőségek, potenciálisak és bizonyítottak. Ami fontos, hogy etikusan nyilvánosságra hozzák őket, felelősségteljesen beszámolnak róluk és gyorsan foglalkoznak velük.

Frissíteni fogjuk ezt a történetet, amint több ismertté válik. Addig is engedje meg, ha a PGP / S / MIME-t használja titkosított e-mailekhez, és ha igen, mi a véleménye?

Ezek a legjobb vezeték nélküli fülhallgatók, amelyeket minden áron megvásárolhat!
Ideje levágni a zsinórt!

Ezek a legjobb vezeték nélküli fülhallgatók, amelyeket minden áron megvásárolhat!

A legjobb vezeték nélküli fülhallgató kényelmes, jól hangzik, nem kerül túl sokba, és könnyen elfér a zsebében.

Minden, amit tudnia kell a PS5-ről: Kiadási dátum, ár és még sok más
Következő generációs

Minden, amit tudnia kell a PS5-ről: Kiadási dátum, ár és még sok más.

A Sony hivatalosan megerősítette, hogy a PlayStation 5-en dolgozik. Itt van minden, amit eddig tudtunk róla.

A Nokia két új, 200 dollár alatti, olcsó Android One telefont dob ​​piacra
Új Nokias

A Nokia két új, 200 dollár alatti, olcsó Android One telefont dob ​​piacra.

A Nokia 2.4 és a Nokia 3.4 a legújabb kiegészítés a HMD Global költségvetési okostelefon-kínálatában. Mivel mindkettő Android One eszköz, garantáltan két fő operációs rendszer frissítést és rendszeres biztonsági frissítést kapnak akár három évig is.

Ezek a Fitband Sense és a Versa 3 legjobb zenekarai
Új és javított

Ezek a Fitband Sense és a Versa 3 legjobb zenekarai.

A Fitbit Sense és a Versa 3 megjelenésével együtt a vállalat új végtelen sávokat is bemutatott. Kiválasztottuk a legjobbakat, hogy megkönnyítsük a dolgát.

smihub.com