Używacie szyfrowania poczty? Lepiej wyłączcie od razu swoje wtyczki

Jeśli w swoim kliencie poczty używacie automatycznego szyfrowania i deszyfrowania PGP lub S/MIME, to zalecamy natychmiastowe wyłączenie tej funkcji – istnieje możliwość odczytania Waszej korespondencji.

Szyfrowanie poczty w wielu sytuacjach jest niezbędne – szczególnie, gdy chcemy przekazać poufne informacje. Istnieją narzędzia automatyzujące uciążliwy proces szyfrowania i deszyfrowania – i niestety najwyraźniej są one podatne na błędy umożliwiające odczytanie zaszyfrowanych wiadomości.

Ostrzeżenie dzisiaj, szczegóły jutro
Dzisiaj rano naukowcy badający narzędzia do obsługi szyfrowania poczty poinformowali, że w ciągu 24 godzin ujawnią szczegóły odkrytych błędów.

There are currently no reliable fixes for the vulnerability. If you use PGP/GPG or S/MIME for very sensitive communication, you should disable it in your email client for now. Also read @EFF’s blog post on this issue: https://t.co/zJh2YHhE5q #efail 2/4

— Sebastian Schinzel (@seecurity) May 14, 2018

Według naukowców opracowane przez nich ataki mogą pozwolić na odczytanie nie tylko treści aktualnej korespondencji, ale także przeszłych wiadomości – co wygląda naprawdę bardzo, bardzo niedobrze. Na dokładkę wg dostępnych informacji nie udostępniono do tej pory łat usuwających problemy. Jedynym rekomendowanym rozwiązaniem jest zatem wyłączenie wtyczek odpowiedzialnych za szyfrowanie i deszyfrowanie wiadomości i przejście – przynajmniej tymczasowo – na inne kanały i metody szyfrowania. Electronic Frontier Foundation wręcz rekomenduje, by do czasu wyjaśnienia problemu nie próbować w ogóle odszyfrowywać wiadomości przesyłanych w PGP. Na stronie EFF znajdziecie także instrukcje, jak wyłączyć wtyczki szyfrujące w Thunderbirdzie, Apple Mail czy Outlooku.

Dodatkowe wyjaśnienie opublikowane przez osobę, która rzekomo widziała wyniki badania naukowców wskazuje, że do ataku użyto elementów HTML, których nieprawidłowe przetworzenie pozwala na wydobycie treści odszyfrowanej wiadomości a podatne są tylko wybrane programy pocztowe. Sugeruje to, że samo PGP pozostaje bezpieczne i szyfrowanie oraz odszyfrowywanie wiadomości za pomocą np. GnuPG czy PGP nie powinno stanowić zagrożenia. Szczegóły ataku poznamy jednak dopiero jutro rano.

źródło: zaufanatrzeciastrona.pl

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *