EFAIL: PGP i S/MIME dziurawe – można odczytać zawartość szyfrowanych e-maili

Wojtek Pietrusiewicz

1

Dodane: 6 lat temu

Dzisiaj został udostępniony dokument tłumaczący dziury w szyfrowaniu PGP i S/MIME, które zapewnia(ło) nam spokój przy przesyłaniu poufnych informacji za pomocą e-maili.

Zespół składający się z Damiana Poddebniaka, Christiana Dresena, Jensa Müllera, Fabiana Isinga, Sebastiana Schinzelą, Simona Friedbergerą, Juraja Somorovsky’iego i Jörga Schwenka odkrył dziury w szyfrowaniu treści e-maili za pomocą PGP i S/MIME, dzięki którym można „namówić” klienta pocztowego do wysłania treści szyfrowanych danych w plaintext. Aby atak był skuteczny, osoba wykorzystująca lukę musi mieć dostęp do tych maili. Z testów ekipy EFAIL – tak nazwali te dwie dziury – wynika, że 25 z 35 testowanych klientów wykorzystujących S/MIME i 10 z 28 klientów wykorzystujących PGP nie jest prawidłowo zabezpieczona, w tym Apple Mail na macOS, Mail na iOS i Mozilla Thunderbird. Co gorsza, te trzy programy są jeszcze łatwiejsze do złamania niż inne testowane. „Dobrą” wiadomością jest to, że osoba atakująca nie otrzymuje dostępu do naszego prywatnego klucza PGP.

Zalecenia

Ekipa stojąca za EFAIL zaleca wyłączenie automatycznego odszyfrowywania wiadomości szyfrowanych za pomocą S/MIME lub PGP w kliencie pocztowym oraz jego natychmiastowe odinstalowanie tej funkcji w kliencie (zazwyczaj są to wtyczki). Następnym krokiem powinno być usunięcie prywatnych kluczy z klienta. Zalecają odszyfrowywanie takich treści tylko w zewnętrznych aplikacjach na obecną chwilę. Zalecają również wyłączenie wyświetlania HTML w przychodzących wiadomościach.

Całkowite zabezpieczenie się na przyszłość będzie wymagało uaktualnienia standardów S/MIME i PGP.

Więcej informacji na temat EFAIL znajdziecie tutaj.

Wojtek Pietrusiewicz

Wydawca, fotograf, podróżnik, podcaster – niekoniecznie w tej kolejności. Lubię espresso, mechaniczne zegarki, mechaniczne klawiatury i zwinne samochody.