Luka #EFAIL: co użytkownicy PGP i S / MIME muszą teraz zrobić

Zespół europejskich naukowców twierdzi, że znalazł krytyczne luki w zabezpieczeniach PGP / GPG i S / MIME. PGP, co oznacza Pretty Good Privacy, to kod używany do szyfrowania komunikacji, zwykle poczty e-mail. S / MIME, co oznacza Secure / Multipurpose Internet Mail Extension, to sposób na podpisywanie i szyfrowanie nowoczesnych wiadomości e-mail oraz wszystkich rozszerzonych zestawów znaków, załączników i zawartych w nich treści. Jeśli chcesz mieć taki sam poziom bezpieczeństwa poczty e-mail, jak w przypadku szyfrowanych wiadomości typu end-to-end, prawdopodobnie używasz PGP / S / MIME. W tej chwili mogą być podatni na włamania.

Danny O'Brien i Gennie Genhart, piszą dla EFR:

Grupa europejskich badaczy bezpieczeństwa opublikowała ostrzeżenie o zestawie luk w zabezpieczeniach użytkowników PGP i S / MIME. EFF komunikuje się z zespołem badawczym i może potwierdzić, że te luki są natychmiastowe ryzyko dla osób używających tych narzędzi do komunikacji e-mailowej, w tym potencjalne ujawnienie treści z przeszłości wiadomości.

instagram viewer

I:

Nasza rada, która odzwierciedla opinię naukowców, brzmi: natychmiast wyłącz i / lub odinstaluj narzędzia, które automatycznie odszyfrują wiadomości e-mail zaszyfrowane za pomocą PGP. Dopóki wady opisane w artykule nie zostaną szerzej poznane i naprawione, użytkownicy powinni umówić się na korzystanie z alternatywne, kompleksowe bezpieczne kanały, takie jak Signal, i tymczasowo przestań wysyłać, a zwłaszcza czytać szyfrowane PGP e-mail.

Dan Goodin at Ars Technica uwagi:

Zarówno Schinzel, jak i post na blogu EFF odesłali osoby, których dotyczy problem, do instrukcji EFF dotyczących wyłączania wtyczek w Thunderbirdzie, MacOS Mail i Outlooku. Instrukcje mówią tylko o „wyłączaniu integracji PGP w klientach poczty e-mail”. Co ciekawe, nie ma rady, aby usunąć aplikacje PGP, takie jak Gpg4win, GNU Privacy Guard. Po usunięciu wtyczek z Thunderbirda, Maila lub Outlooka, posty EFF mówiły: „Twoje e-maile nie będą automatycznie odszyfrowane. ”Na Twitterze urzędnicy EFF powiedzieli:„ nie odszyfruj zaszyfrowanych wiadomości PGP, które otrzymujesz za pomocą poczty e-mail klient."

Werner Koch z GNU Privacy Guard Świergot konto i lista mailingowa gnupg dostałem raport i riposty:

Tematem tego artykułu jest to, że HTML jest używany jako kanał zwrotny do tworzenia wyroczni dla zmodyfikowanych zaszyfrowanych wiadomości e-mail. Od dawna wiadomo, że wiadomości e-mail w formacie HTML, aw szczególności linki zewnętrzne, takie jak, są złe, jeśli MUA faktycznie je honoruje (co w międzyczasie wydaje się powtarzać); zobacz wszystkie te biuletyny). Z powodu zepsutych parserów MIME kilka MUA wydaje się łączyć odszyfrowane części HTML MIME, co ułatwia umieszczanie takich fragmentów HTML.

Istnieją dwa sposoby na złagodzenie tego ataku

• Nie używaj wiadomości HTML. Lub jeśli naprawdę potrzebujesz je przeczytać, użyj odpowiedniego parsera MIME i nie zezwalaj na dostęp do linków zewnętrznych.

• Użyj uwierzytelnionego szyfrowania.

Jest tu wiele do przeszukania, a naukowcy ujawniają swoje odkrycia opinii publicznej dopiero jutro. W międzyczasie, jeśli używasz PGP i S / MIME do zaszyfrowanych wiadomości e-mail, przeczytaj artykuł EFF, przeczytaj wiadomość gnupg, a następnie:

• Jeśli czujesz się najmniej zmartwiony, tymczasowo wyłącz szyfrowanie wiadomości e-mail w Perspektywy, Poczta systemu macOS, Thunderbirditp. i przełącz się na coś takiego jak Signal, WhatsApp lub iMessage, aby zapewnić bezpieczną komunikację, aż opadnie kurz.
• Jeśli się nie martwisz, nadal obserwuj historię i zobacz, czy coś się zmieni w ciągu najbliższych kilku dni.

Zawsze będą istnieć exploity i luki, potencjalne i sprawdzone. Ważne jest, aby ujawniać je w sposób etyczny, zgłaszać odpowiedzialnie i szybko reagować.

Zaktualizujemy tę historię, gdy będzie więcej znanych. W międzyczasie, pozwól mi, jeśli używasz PGP / S / MIME do szyfrowania wiadomości e-mail, a jeśli tak, co sądzisz?