Makale

#EFAIL güvenlik açığı: PGP ve S / MIME kullanıcılarının şu anda yapması gerekenler

Avrupalı ​​araştırmacılardan oluşan bir ekip, PGP / GPG ve S / MIME'de kritik güvenlik açıkları bulduklarını iddia ediyor. Oldukça İyi Gizlilik anlamına gelen PGP, genellikle e-posta olmak üzere iletişimleri şifrelemek için kullanılan koddur. Güvenli / Çok Amaçlı İnternet Posta Uzantısı'nın kısaltması olan S / MIME, modern e-postayı ve içerdiği tüm genişletilmiş karakter kümelerini, ekleri ve içeriği imzalamanın ve şifrelemenin bir yoludur. E-postada uçtan uca şifreli mesajlaşmada sahip olduğunuz aynı güvenlik düzeyini istiyorsanız, muhtemelen PGP / S / MIME kullanıyorsunuzdur. Ve şu anda, saldırılara karşı savunmasız olabilirler.

2018-05-15 07:00 UTC'de PGP / GPG ve S / MIME e-posta şifrelemesinde kritik güvenlik açıkları yayınlayacağız. Geçmişte gönderilen şifreli e-postalar dahil olmak üzere şifrelenmiş e-postaların düz metnini açığa çıkarabilirler. #efail 1/4

- Sebastian Schinzel (@seecurity) 14 Mayıs 2018

Danny O'Brien ve Gennie Genhart, EFF:

Bir grup Avrupalı ​​güvenlik araştırmacısı, PGP ve S / MIME kullanıcılarını etkileyen bir dizi güvenlik açığı hakkında bir uyarı yayınladı. EFF, araştırma ekibiyle iletişim halindedir ve bu güvenlik açıklarının acil bir durum oluşturduğunu doğrulayabilir. e-posta iletişimi için bu araçları kullananlar için risk, geçmiş içeriğin potansiyel teşhisi dahil mesajlar.

Ve:

Araştırmacıların düşüncelerini yansıtan tavsiyemiz, PGP şifreli e-postanın şifresini otomatik olarak çözen araçları hemen devre dışı bırakın ve / veya kaldırın. Makalede açıklanan kusurlar daha geniş çapta anlaşılıp düzeltilinceye kadar, kullanıcılar aşağıdakilerin kullanımını düzenlemelidir: Signal gibi alternatif uçtan uca güvenli kanallar ve geçici olarak göndermeyi ve özellikle PGP şifreli okumayı durdurun e-posta.

Dan Goodin Ars Technica notlar:

Hem Schinzel hem de EFF blog yazısı, etkilenenleri Thunderbird, macOS Mail ve Outlook'taki eklentileri devre dışı bırakmaya yönelik EFF talimatlarına yönlendirdi. Talimatlar sadece "e-posta istemcilerinde PGP entegrasyonunu devre dışı bırak" diyor. İlginç bir şekilde, Gpg4win, GNU Privacy Guard gibi PGP uygulamalarını kaldırmaya yönelik bir tavsiye yok. Eklenti araçları Thunderbird, Mail veya Outlook'tan kaldırıldıktan sonra, EFF yayınlarında "e-postalarınız otomatik olarak olmayacak EFF yetkilileri, Twitter'da şöyle dedi: "e-postanızı kullanarak aldığınız şifreli PGP mesajlarının şifresini çözmeyin müşteri. "

Werner Koch, GNU Gizlilik Korumasında Twitter hesap ve gnupg posta listesi raporu ele geçirdi ve karşılık verdi:

Bu makalenin konusu, HTML'nin değiştirilmiş şifreli postalar için bir oracle yaratmak için bir arka kanal olarak kullanılmasıdır. MUA onları gerçekten onurlandırırsa HTML postalarının ve özellikle de benzeri harici bağlantıların kötü olduğu uzun zamandır bilinmektedir (bu arada birçoğu yine yapıyor gibi görünüyor; tüm bu haber bültenlerine bakın). Bozuk MIME ayrıştırıcıları nedeniyle, bir grup MUA, şifresi çözülmüş HTML mime parçalarını birleştiriyor gibi görünüyor ve bu da bu tür HTML parçacıklarını yerleştirmeyi kolaylaştırıyor.

Bu saldırıyı hafifletmenin iki yolu var

  • HTML postaları kullanmayın. Veya bunları gerçekten okumanız gerekiyorsa, uygun bir MIME ayrıştırıcısı kullanın ve harici bağlantılara erişime izin vermeyin.

  • Kimliği doğrulanmış şifreleme kullanın.

Burada ele alınacak çok şey var ve araştırmacılar bulgularını yarına kadar halka açıklamıyorlar. Bu arada, şifreli e-posta için PGP ve S / MIME kullanıyorsanız, EFF makalesini okuyun, gnupg postasını okuyun ve sonra:

  • En azından endişeleniyorsanız, e-posta şifrelemesini geçici olarak devre dışı bırakın. Görünüm, macOS Mail, Thunderbird, vb. ve toz yatışana kadar güvenli iletişim için Signal, WhatsApp veya iMessage gibi bir şeye geçiş yapın.
  • Endişelenmiyorsanız, yine de hikayeye göz atın ve önümüzdeki birkaç gün içinde herhangi bir değişiklik olup olmadığına bakın.

Her zaman potansiyel ve kanıtlanmış istismarlar ve güvenlik açıkları olacaktır. Önemli olan etik bir şekilde ifşa edilmesi, sorumlu bir şekilde rapor edilmesi ve süratle ele alınmasıdır.

Daha fazla bilgi edindikçe bu hikayeyi güncelleyeceğiz. Bu arada, şifrelenmiş e-posta için PGP / S / MIME kullanıyorsanız bana izin verin ve eğer öyleyse, ne düşünüyorsunuz?

Bunlar, her fiyata satın alabileceğiniz en iyi kablosuz kulaklıklardır!
Kordonu kesmenin zamanı geldi!

Bunlar, her fiyata satın alabileceğiniz en iyi kablosuz kulaklıklardır!

En iyi kablosuz kulaklıklar rahattır, harika ses çıkarır, çok pahalı değildir ve cebe kolayca sığar.

PS5 hakkında bilmeniz gereken her şey: Çıkış tarihi, fiyatı ve daha fazlası
Gelecek nesil

PS5 hakkında bilmeniz gereken her şey: Çıkış tarihi, fiyatı ve daha fazlası.

Sony, PlayStation 5 üzerinde çalıştığını resmen onayladı. Şimdiye kadar bildiğimiz her şey burada.

Nokia, 200 doların altında iki yeni bütçeye sahip Android One telefonunu piyasaya sürdü
Yeni Nokias

Nokia, 200 doların altında iki yeni bütçeye sahip Android One telefonunu piyasaya sürdü.

Nokia 2.4 ve Nokia 3.4, HMD Global'in bütçeye uygun akıllı telefon serisinin en son eklemeleridir. Her ikisi de Android One cihazları olduğundan, üç yıla kadar iki büyük işletim sistemi güncellemesi ve düzenli güvenlik güncellemeleri almaları garanti edilir.

Bunlar Fitbit Sense ve Versa 3 için en iyi gruplar
Yeni ve geliştirilmiş

Bunlar, Fitbit Sense ve Versa 3 için en iyi gruplar.

Fitbit Sense ve Versa 3'ün piyasaya sürülmesiyle birlikte, şirket ayrıca yeni sonsuzluk grupları da tanıttı. İşleri sizin için kolaylaştırmak için en iyisini seçtik.

smihub.com