Статья

Уязвимость #EFAIL: что нужно сделать пользователям PGP и S / MIME прямо сейчас

Команда европейских исследователей утверждает, что обнаружила критические уязвимости в PGP / GPG и S / MIME. PGP, что расшифровывается как Pretty Good Privacy, - это код, используемый для шифрования сообщений, обычно электронной почты. S / MIME, что расшифровывается как Secure / Multipurpose Internet Mail Extension, - это способ подписывать и шифровать современную электронную почту и все расширенные наборы символов, вложения и содержимое, которое она содержит. Если вам нужен такой же уровень безопасности в электронной почте, как при сквозном шифровании сообщений, скорее всего, вы используете PGP / S / MIME. И прямо сейчас они могут быть уязвимы для взлома.

Мы опубликуем критические уязвимости в шифровании электронной почты PGP / GPG и S / MIME 15 мая 2018 года в 07:00 UTC. Они могут раскрыть открытый текст зашифрованных писем, в том числе зашифрованных писем, отправленных в прошлом. #efail 1/4

- Себастьян Шинцель (@seecurity) 14 мая 2018

Дэнни О'Брайен и Дженни Генхарт, пишущие для EFF:

Группа европейских исследователей безопасности выпустила предупреждение о наборе уязвимостей, затрагивающих пользователей PGP и S / MIME. EFF поддерживает связь с исследовательской группой и может подтвердить, что эти уязвимости представляют собой немедленную угрозу. риск для тех, кто использует эти инструменты для общения по электронной почте, включая потенциальное раскрытие содержимого прошлых Сообщения.

И:

Наш совет, который отражает рекомендации исследователей, - немедленно отключите и / или удалите инструменты, которые автоматически расшифровывают почту, зашифрованную PGP. До тех пор, пока недостатки, описанные в документе, не будут более широко поняты и исправлены, пользователи должны организовать использование альтернативные сквозные безопасные каналы, такие как Signal, и временная остановка отправки и особенно чтения зашифрованных PGP Эл. адрес.

Дэн Гудин в Ars Technica ноты:

И Шинцель, и сообщение в блоге EFF отсылали пострадавших к инструкциям EFF по отключению плагинов в Thunderbird, macOS Mail и Outlook. В инструкции сказано только «отключить интеграцию PGP в почтовых клиентах». Интересно, что нет рекомендаций по удалению приложений PGP, таких как Gpg4win, GNU Privacy Guard. В сообщениях EFF говорилось, что после удаления инструментов плагина из Thunderbird, Mail или Outlook, «ваши электронные письма не будут автоматически отправляться. расшифрованы ". В Twitter официальные лица EFF заявили:" Не расшифровывайте зашифрованные сообщения PGP, которые вы получаете на свою электронную почту. клиент ".

Вернер Кох, о GNU Privacy Guard Twitter счет и список рассылки gnupg достал отчет и возражает:

Тема этой статьи состоит в том, что HTML используется в качестве обратного канала для создания оракула для модифицированных зашифрованных писем. Давно известно, что электронные письма в формате HTML и, в частности, внешние ссылки, например, являются злом, если MUA действительно уважает их (что многие тем временем, похоже, делают снова; увидеть все эти информационные бюллетени). Из-за сломанных парсеров MIME куча MUA, кажется, объединяет дешифрованные части mime HTML, что упрощает создание таких фрагментов HTML.

Есть два способа смягчить эту атаку.

  • Не используйте электронную почту в формате HTML. Или, если вам действительно нужно их прочитать, используйте соответствующий парсер MIME и запретите любой доступ к внешним ссылкам.

  • Используйте аутентифицированное шифрование.

Здесь есть что проанализировать, и исследователи не предадут свои выводы общественности до завтра. Итак, тем временем, если вы используете PGP и S / MIME для зашифрованной электронной почты, прочтите статью EFF, прочтите почту gnupg, а затем:

  • Если вас это немного беспокоит, временно отключите шифрование электронной почты в Outlook, Почта macOS, Thunderbird, так далее. и переключитесь на что-то вроде Signal, WhatsApp или iMessage для безопасного общения, пока пыль не уляжется.
  • Если вас это не беспокоит, все равно следите за историей и смотрите, не изменится ли что-нибудь в ближайшие пару дней.

Всегда будут эксплойты и уязвимости, потенциальные и проверенные. Важно то, что они раскрываются этично, ответственно и оперативно рассматриваются.

Мы будем обновлять эту историю, когда станет известно больше. А пока позвольте мне, если вы используете PGP / S / MIME для зашифрованной электронной почты, и если да, что вы будете делать?

Это лучшие беспроводные наушники, которые вы можете купить по любой цене!
Пора перерезать шнур!

Это лучшие беспроводные наушники, которые вы можете купить по любой цене!

Лучшие беспроводные наушники удобны, отлично звучат, не стоят слишком дорого и легко помещаются в кармане.

Все, что вам нужно знать о PS5: дата выхода, цена и многое другое
Следующее поколение

Все, что вам нужно знать о PS5: дата выхода, цена и многое другое.

Sony официально подтвердила, что работает над PlayStation 5. Вот все, что мы знаем об этом на данный момент.

Nokia запускает два новых бюджетных телефона Android One стоимостью менее 200 долларов
Новые Нокиас

Nokia запускает два новых бюджетных телефона Android One стоимостью менее 200 долларов.

Nokia 2.4 и Nokia 3.4 - последние дополнения к линейке бюджетных смартфонов HMD Global. Поскольку оба они являются устройствами Android One, они гарантированно получат два основных обновления ОС и регулярные обновления безопасности на срок до трех лет.

Это лучшие ремешки для Fitbit Sense и Versa 3.
Новый и улучшенный

Это лучшие ремешки для Fitbit Sense и Versa 3.

Наряду с выпуском Fitbit Sense и Versa 3 компания также представила новые бесконечные ремешки. Мы выбрали лучшие, чтобы вам было проще.

instagram story viewer