iMagazine

Sandisk

EFAIL: PGP i S/MIME dziurawe – można odczytać zawartość szyfrowanych e-maili

14/05/2018, 15:48 · · · 1

Dzisiaj został udostępniony dokument tłumaczący dziury w szyfrowaniu PGP i S/MIME, które zapewnia(ło) nam spokój przy przesyłaniu poufnych informacji za pomocą e-maili.

Zespół składający się z Damiana Poddebniaka, Christiana Dresena, Jensa Müllera, Fabiana Isinga, Sebastiana Schinzelą, Simona Friedbergerą, Juraja Somorovsky’iego i Jörga Schwenka odkrył dziury w szyfrowaniu treści e-maili za pomocą PGP i S/MIME, dzięki którym można „namówić” klienta pocztowego do wysłania treści szyfrowanych danych w plaintext. Aby atak był skuteczny, osoba wykorzystująca lukę musi mieć dostęp do tych maili. Z testów ekipy EFAIL – tak nazwali te dwie dziury – wynika, że 25 z 35 testowanych klientów wykorzystujących S/MIME i 10 z 28 klientów wykorzystujących PGP nie jest prawidłowo zabezpieczona, w tym Apple Mail na macOS, Mail na iOS i Mozilla Thunderbird. Co gorsza, te trzy programy są jeszcze łatwiejsze do złamania niż inne testowane. „Dobrą” wiadomością jest to, że osoba atakująca nie otrzymuje dostępu do naszego prywatnego klucza PGP.

Zalecenia

Ekipa stojąca za EFAIL zaleca wyłączenie automatycznego odszyfrowywania wiadomości szyfrowanych za pomocą S/MIME lub PGP w kliencie pocztowym oraz jego natychmiastowe odinstalowanie tej funkcji w kliencie (zazwyczaj są to wtyczki). Następnym krokiem powinno być usunięcie prywatnych kluczy z klienta. Zalecają odszyfrowywanie takich treści tylko w zewnętrznych aplikacjach na obecną chwilę. Zalecają również wyłączenie wyświetlania HTML w przychodzących wiadomościach.

Całkowite zabezpieczenie się na przyszłość będzie wymagało uaktualnienia standardów S/MIME i PGP.

Więcej informacji na temat EFAIL znajdziecie tutaj.

1

Wojtek Pietrusiewicz

Wydawca, fotograf, podróżnik, podcaster – niekoniecznie w tej kolejności. Lubię espresso, mechaniczne zegarki i zwinne samochody. Niedawno rozpocząłem prowadzenie kursów Lightrooma i fotografii na Pikselowe.pl – zapraszam.


1
Dodaj komentarz

avatar
1 Comment threads
0 Thread replies
0 Followers
 
Most reacted comment
Hottest comment thread
1 Comment authors
asdy Recent comment authors
  Subscribe  
najnowszy najstarszy oceniany
Powiadom o
asdy
Gość
asdy

„Apple Mail na macOS, Mail na iOS i Mozilla Thunderbird. Co gorsza, te trzy programy są jeszcze łatwiejsze do złamania niż inne testowane.”

Odnoszę wrażenie że z bezpieczeństwem u Apple jest coraz gorzej.