Et team av europeiske forskere hevder å ha funnet kritiske sårbarheter i PGP / GPG og S / MIME. PGP, som står for Pretty Good Privacy, er kode som brukes til å kryptere kommunikasjon, ofte e-post. S / MIME, som står for Secure / Multipurpose Internet Mail Extension, er en måte å signere og kryptere moderne e-post og alle utvidede tegnsett, vedlegg og innhold den inneholder. Hvis du vil ha samme sikkerhetsnivå i e-post som du har i end-to-end kryptert melding, er det sannsynlig at du bruker PGP / S / MIME. Og akkurat nå kan de være sårbare for hack.
Vi vil publisere kritiske sårbarheter i PGP / GPG og S / MIME-e-postkryptering den 2018-05-15 07:00 UTC. De kan avsløre klartekst for krypterte e-postmeldinger, inkludert krypterte e-poster som er sendt tidligere. #feil 1/4
- Sebastian Schinzel (@seecurity) 14. mai 2018
Danny O'Brien og Gennie Genhart, skriver for EFF:
En gruppe europeiske sikkerhetsforskere har gitt ut en advarsel om et sett med sårbarheter som påvirker brukere av PGP og S / MIME. EFF har vært i kommunikasjon med forskerteamet, og kan bekrefte at disse sårbarhetene utgjør en umiddelbar risiko for de som bruker disse verktøyene for e-postkommunikasjon, inkludert potensiell eksponering av innholdet fra fortiden meldinger.
Og:
Vårt råd, som speiler forskernes, er å umiddelbart deaktivere og / eller avinstallere verktøy som automatisk dekrypterer PGP-kryptert e-post. Inntil feilene som er beskrevet i avisen er mer forstått og løst, bør brukerne sørge for bruk av alternative ende-til-ende sikre kanaler, for eksempel Signal, og midlertidig stoppe sending og spesielt lesing av PGP-kryptert e-post.
Dan Goodin på Ars Technica merknader:
Både Schinzel og EFF-blogginnlegget henviste de berørte til EFF-instruksjoner for deaktivering av plugin-moduler i Thunderbird, macOS Mail og Outlook. Instruksjonene sier bare for å "deaktivere PGP-integrering i e-postklienter." Interessant, det er ingen råd om å fjerne PGP-apper som Gpg4win, GNU Privacy Guard. Når plugin-verktøyene er fjernet fra Thunderbird, Mail eller Outlook, sa EFF-innleggene: "E-postene dine blir ikke automatisk dekryptert. "På Twitter sa EFF-tjenestemenn videre:" dekrypter ikke krypterte PGP-meldinger som du mottar ved hjelp av e-posten din. klient."
Werner Koch, på GNU Privacy Guard Twitter konto og gnupg adresseliste fikk tak i rapporten og reporterer:
Temaet for papiret er at HTML brukes som en bakkanal for å lage et orakel for modifiserte krypterte e-poster. Det er lenge kjent at HTML-e-post og spesielt eksterne lenker som er onde hvis MUA faktisk ærer dem (som mange i mellomtiden ser ut til å gjøre igjen; se alle disse nyhetsbrev). På grunn av ødelagte MIME-analysatorer ser det ut til at en haug med MUAer sammenkobler dekrypterte HTML-mime-deler, noe som gjør det enkelt å plante slike HTML-kodestykker.
Det er to måter å redusere dette angrepet på
Ikke bruk HTML-post. Eller hvis du virkelig trenger å lese dem, bruk en skikkelig MIME-parser og ikke tillat tilgang til eksterne lenker.
Bruk godkjent kryptering.
Det er mye å sile gjennom her, og forskerne frigjør ikke funnene sine til publikum før i morgen. Så i mellomtiden, hvis du bruker PGP og S / MIME for kryptert e-post, kan du lese EFF-artikkelen, lese gnupg-e-posten og deretter:
- Hvis du føler deg minst bekymret, kan du deaktivere e-postkryptering midlertidig Outlook, macOS Mail, Thunderbird, etc. og bytt til noe som Signal, WhatsApp eller iMessage for sikker kommunikasjon til støvet legger seg.
- Hvis du ikke er bekymret, kan du fremdeles holde øye med historien og se om noe endres de neste par dagene.
Det vil alltid være utnyttelser og sårbarheter, potensielt og bevist. Det som er viktig er at de blir avslørt etisk, rapportert ansvarlig og adressert raskt.
Vi oppdaterer denne historien etter hvert som mer blir kjent. I mellomtiden, la meg si hvis du bruker PGP / S / MIME for kryptert e-post, og i så fall hva tar du?
Dette er de beste trådløse øreproppene du kan kjøpe til enhver pris!
De beste trådløse øreproppene er komfortable, høres bra ut, koster ikke for mye og passer lett i lommen.
Alt du trenger å vite om PS5: Utgivelsesdato, pris og mer.
Sony har offisielt bekreftet at de jobber med PlayStation 5. Her er alt vi vet om det så langt.
Nokia lanserer to nye budsjett Android One-telefoner under $ 200.
Nokia 2.4 og Nokia 3.4 er de siste tilskuddene til HMD Globals budsjett-smarttelefonserie. Siden de begge er Android One-enheter, mottar de garantert to store OS-oppdateringer og vanlige sikkerhetsoppdateringer i opptil tre år.
Dette er de beste bandene for Fitbit Sense og Versa 3.
Sammen med utgivelsen av Fitbit Sense og Versa 3, introduserte selskapet også nye uendelige band. Vi har plukket ut de beste for å gjøre ting enklere for deg.