Een team van Europese onderzoekers beweert kritieke kwetsbaarheden te hebben gevonden in PGP / GPG en S / MIME. PGP, wat staat voor Pretty Good Privacy, is code die wordt gebruikt om communicatie, meestal e-mail, te versleutelen. S / MIME, wat staat voor Secure / Multipurpose Internet Mail Extension, is een manier om moderne e-mail en alle uitgebreide tekensets, bijlagen en inhoud die het bevat, te ondertekenen en te coderen. Als je hetzelfde niveau van beveiliging in e-mail wilt als bij end-to-end versleutelde berichten, gebruik je waarschijnlijk PGP / S / MIME. En op dit moment zijn ze mogelijk kwetsbaar voor hacks.
We publiceren kritieke kwetsbaarheden in PGP / GPG- en S / MIME-e-mailversleuteling op 2018-05-15 07:00 UTC. Ze kunnen de leesbare tekst van versleutelde e-mails onthullen, inclusief versleutelde e-mails die in het verleden zijn verzonden. #fail 1/4
- Sebastian Schinzel (@seecurity) 14 mei 2018
Danny O'Brien en Gennie Genhart, schrijven voor Het EFF:
Een groep Europese veiligheidsonderzoekers heeft een waarschuwing uitgebracht over een reeks kwetsbaarheden die gebruikers van PGP en S / MIME treffen. EFF heeft contact gehad met het onderzoeksteam en kan bevestigen dat deze kwetsbaarheden onmiddellijk optreden risico voor degenen die deze tools gebruiken voor e-mailcommunicatie, inclusief de mogelijke blootstelling van de inhoud uit het verleden berichten.
En:
Ons advies, dat overeenkomt met dat van de onderzoekers, is: tools die automatisch PGP-versleutelde e-mail decoderen, uitschakelen en / of verwijderen. Totdat de tekortkomingen die in het document worden beschreven meer algemeen worden begrepen en verholpen, moeten gebruikers het gebruik van alternatieve end-to-end beveiligde kanalen, zoals Signal, en tijdelijk stoppen met het verzenden en vooral lezen van PGP-versleuteld e-mail.
Dan Goodin bij Ars Technica opmerkingen:
Zowel Schinzel als de EFF-blogpost verwezen de betrokkenen naar EFF-instructies voor het uitschakelen van plug-ins in Thunderbird, macOS Mail en Outlook. De instructies zeggen alleen "PGP-integratie in e-mailclients uitschakelen". Interessant genoeg is er geen advies om PGP-apps zoals Gpg4win, GNU Privacy Guard te verwijderen. Zodra de plug-in-tools zijn verwijderd uit Thunderbird, Mail of Outlook, zeiden de EFF-berichten, "uw e-mails worden niet automatisch gedecodeerd. "Op Twitter zeiden EFF-functionarissen verder:" decodeer geen versleutelde PGP-berichten die u ontvangt via uw e-mail cliënt."
Werner Koch, op de GNU Privacy Guard Twitter account en het gnupg mailinglijst kreeg het rapport in handen en antwoordt:
Het onderwerp van die paper is dat HTML wordt gebruikt als een back-channel om een orakel te maken voor gemodificeerde versleutelde mails. Het is al lang bekend dat HTML-mails en in het bijzonder externe links zoals slecht zijn als de MUA ze daadwerkelijk respecteert (wat velen ondertussen weer lijken te doen; zie al deze nieuwsbrieven). Door defecte MIME-parsers lijken een aantal MUA's gedecodeerde HTML-mime-delen aaneen te schakelen, waardoor het gemakkelijk is om dergelijke HTML-fragmenten te planten.
Er zijn twee manieren om deze aanval te beperken
Gebruik geen HTML-mails. Of als u ze echt moet lezen, gebruik dan een goede MIME-parser en sta geen toegang tot externe links toe.
Gebruik geverifieerde versleuteling.
Er valt hier veel door te spitten en de onderzoekers geven hun bevindingen pas morgen vrij aan het publiek. Dus als u in de tussentijd PGP en S / MIME gebruikt voor gecodeerde e-mail, lees dan het EFF-artikel, lees de gnupg-mail en dan:
- Als u zich het minst zorgen maakt, schakelt u de e-mailversleuteling tijdelijk uit in Outlook, macOS Mail, Thunderbird, enzovoort. en schakel over naar zoiets als Signal, WhatsApp of iMessage voor veilige communicatie totdat het stof is neergedaald.
- Als je je geen zorgen maakt, houd het verhaal dan nog steeds in de gaten en kijk of er de komende dagen iets verandert.
Er zullen altijd exploits en kwetsbaarheden zijn, potentieel en bewezen. Wat belangrijk is, is dat ze ethisch openbaar worden gemaakt, verantwoord worden gerapporteerd en snel worden aangepakt.
We zullen dit verhaal bijwerken naarmate er meer bekend wordt. Laat me in de tussentijd weten of u PGP / S / MIME gebruikt voor gecodeerde e-mail en, zo ja, wat is uw mening?
Dit zijn de beste draadloze oordopjes die je voor elke prijs kunt kopen!
De beste draadloze oordopjes zijn comfortabel, klinken geweldig, kosten niet te veel en passen gemakkelijk in een zak.
Alles wat je moet weten over de PS5: releasedatum, prijs en meer.
Sony heeft officieel bevestigd dat het werkt aan de PlayStation 5. Hier is alles wat we er tot nu toe over weten.
Nokia lanceert twee nieuwe budget-Android One-telefoons onder de $ 200.
Nokia 2.4 en Nokia 3.4 zijn de nieuwste toevoegingen aan het budget-smartphone-assortiment van HMD Global. Omdat het beide Android One-apparaten zijn, ontvangen ze gegarandeerd twee belangrijke OS-updates en regelmatige beveiligingsupdates gedurende maximaal drie jaar.
Dit zijn de beste banden voor de Fitbit Sense en Versa 3.
Naast de release van de Fitbit Sense en Versa 3 introduceerde het bedrijf ook nieuwe infinity bands. We hebben de beste uitgezocht om het u gemakkelijker te maken.