Ett team av europeiska forskare hävdar att de har hittat kritiska sårbarheter i PGP / GPG och S / MIME. PGP, som står för Pretty Good Privacy, är kod som används för att kryptera kommunikation, vanligtvis e-post. S / MIME, som står för Secure / Multipurpose Internet Mail Extension, är ett sätt att signera och kryptera modern e-post och alla utökade teckenuppsättningar, bilagor och innehåll som den innehåller. Om du vill ha samma säkerhet i e-post som du har i end-to-end krypterade meddelanden, är det troligt att du använder PGP / S / MIME. Och just nu kan de vara sårbara för hack.
Vi kommer att publicera kritiska sårbarheter i PGP / GPG och S / MIME-kryptering den 2018-05-15 07:00 UTC. De kan avslöja klartext för krypterade e-postmeddelanden, inklusive krypterade e-postmeddelanden som skickats tidigare. #fail 1/4
- Sebastian Schinzel (@seecurity) 14 maj 2018
Danny O'Brien och Gennie Genhart, skriver för EFF:
En grupp europeiska säkerhetsforskare har släppt en varning om en uppsättning sårbarheter som påverkar användare av PGP och S / MIME. EFF har kommunicerat med forskargruppen och kan bekräfta att dessa sårbarheter utgör en omedelbar risk för dem som använder dessa verktyg för e-postkommunikation, inklusive potentiell exponering av innehållet från det förflutna meddelanden.
Och:
Vårt råd, som speglar forskarnas, är att inaktivera omedelbart och / eller avinstallera verktyg som automatiskt dekrypterar PGP-krypterad e-post. Tills de brister som beskrivs i tidningen är mer förståda och fixade, bör användarna ordna för användning av alternativa end-to-end säkra kanaler, till exempel Signal, och tillfälligt sluta skicka och särskilt läsa PGP-krypterad e-post.
Dan Goodin på Ars Technica anteckningar:
Både Schinzel och EFF-blogginlägget hänvisade de drabbade till EFF-instruktioner för att inaktivera plugin-program i Thunderbird, macOS Mail och Outlook. Instruktionerna säger bara att "inaktivera PGP-integration i e-postklienter." Intressant finns det inga råd att ta bort PGP-appar som Gpg4win, GNU Privacy Guard. När pluginverktygen har tagits bort från Thunderbird, Mail eller Outlook sa EFF-inläggen: "dina e-postmeddelanden kommer inte att automatiskt dekrypterade. "På Twitter fortsatte EFF-tjänstemän att säga:" dekryptera inte krypterade PGP-meddelanden som du får med din e-post klient."
Werner Koch, på GNU Privacy Guard Twitter konto och gnupg e-postlista tog tag i rapporten och svarade:
Ämnet för det papperet är att HTML används som en bakre kanal för att skapa ett orakel för modifierade krypterade mejl. Det är länge känt att HTML-post och särskilt externa länkar som är onda om MUA verkligen hedrar dem (vilket många under tiden verkar göra igen; se alla dessa nyhetsbrev). På grund av trasiga MIME-analyserare verkar ett gäng MUA sammanfoga dekrypterade HTML-mime-delar vilket gör det enkelt att plantera sådana HTML-kodavsnitt.
Det finns två sätt att mildra denna attack
Använd inte HTML-post. Eller om du verkligen behöver läsa dem använder du en riktig MIME-parser och tillåter inte åtkomst till externa länkar.
Använd autentiserad kryptering.
Det finns mycket att sikta igenom här och forskarna släpper inte sina resultat till allmänheten förrän i morgon. Så, under tiden, om du använder PGP och S / MIME för krypterad e-post, läs EFF-artikeln, läs gnupg-e-post och sedan:
- Om du känner dig minst bekymrad, inaktivera tillfälligt e-postkryptering i Syn, macOS Mail, Thunderbird, etc. och byt till något som Signal, WhatsApp eller iMessage för säker kommunikation tills dammet sätter sig.
- Om du inte är orolig, håll fortfarande koll på historien och se om något förändras de närmaste dagarna.
Det kommer alltid att finnas exploater och sårbarheter, potentiella och bevisade. Det som är viktigt är att de avslöjas etiskt, rapporteras ansvarsfullt och adresseras snabbt.
Vi kommer att uppdatera den här historien när mer blir känt. Under tiden, låt mig om du använder PGP / S / MIME för krypterad e-post och i så fall vad tar du?
Det här är de bästa trådlösa öronsnäckorna du kan köpa till varje pris!
De bästa trådlösa öronsnäckorna är bekväma, låter fantastiskt, kostar inte för mycket och sitter lätt i fickan.
Allt du behöver veta om PS5: Släppdatum, pris och mer.
Sony har officiellt bekräftat att de arbetar på PlayStation 5. Här är allt vi vet om det hittills.
Nokia lanserar två nya budget Android One-telefoner under 200 dollar.
Nokia 2.4 och Nokia 3.4 är de senaste tillskotten till HMD Globals budget smartphone-sortiment. Eftersom de båda är Android One-enheter får de garanterat två stora OS-uppdateringar och regelbundna säkerhetsuppdateringar i upp till tre år.
Dessa är de bästa banden för Fitbit Sense och Versa 3.
Tillsammans med lanseringen av Fitbit Sense och Versa 3 introducerade företaget också nya infinity-band. Vi har valt ut de bästa för att göra det enklare för dig.