CHKLST.RU

Пользователи предупреждены о критическом нарушении безопасности шифрования электронной почты PGP

отредактировано 14 май Раздел: Уязвимости систем и приложений
Команда из девяти ученых предупреждает мир о критических уязвимостях в инструментах шифрования электронной почты PGP и S/MIME.

Недостатки, если они используются, позволяют злоумышленнику расшифровать отправленные или полученные сообщения, согласно исследователю.

«Они могут выявить открытый текст зашифрованных писем, включая зашифрованные электронные письма, отправленные в прошлом», - говорят исследователи. «В настоящее время нет надежных исправлений для этой уязвимости».

Исследователи обещали опубликовать более подробную информацию завтра, во вторник, 15 мая. В то же время они рекомендуют, чтобы пользователи перестали использовать PGP и S / MIME на данный момент.

Фонд Electronic Frontier Foundation (EFF), с которым исследователи связались, чтобы помочь им транслировать свои сообщения в более широкую аудиторию, опубликовал статьи о том, как отключить PGP и связанные с ним плагины.

Пользователям рекомендуется отключить шифрование электронной почты, чтобы избежать повторного использования зашифрованных электронных писем после публикации.

«Эти шаги предназначены как временная, консервативная остановка, пока непосредственный риск эксплойта не пройдет и не будет смягчен более широким сообществом», - сказал EFF.

Пользователям, остро нуждающимся в использовании шифрования для защиты своих каналов связи, рекомендуется использовать клиент обмена мгновенными сообщениями, который поддерживает сквозное шифрование, рекомендуется EFF.

ОБНОВЛЕНИЕ: Вскоре после публикации этой статьи некоторые подробности о потенциальной проблеме, похоже, просочились.

ОБНОВЛЕНИЕ 2: поскольку некоторые исследователи начали раскрывать информацию об уязвимости досрочно, веб-сайт efail.de теперь живет вместе с исследовательским документом, в котором содержится больше информации об уязвимости EFAIL. Подтвержденная уязвимость EFAIL повлияла на плагины электронной почты для поддержки операций шифрования.
EFAIL описывает уязвимости в сквозных технологиях шифрования OpenPGP и S / MIME, которые приводят к утечке открытого текста зашифрованных писем.

Вот несколько стратегий предотвращения атак EFAIL:
Краткосрочная: без расшифровки в почтовом клиенте. Лучший способ предотвратить атаки EFAIL - это только расшифровать письма S / MIME или PGP в отдельном приложении вне вашего почтового клиента. Начните с удаления личных ключей S / MIME и PGP с вашего почтового клиента, а затем расшифруйте входящие зашифрованные письма, скопировав и вставив зашифрованный текст в отдельное приложение, которое расшифровывает вас. Таким образом, почтовые клиенты не могут открывать каналы фильтрации. В настоящее время это самый безопасный вариант с недостатком, что процесс становится все более привлекательным.

Краткосрочный: отключить HTML-рендеринг. Атаки EFAIL злоупотребляют активным контентом, в основном в виде изображений HTML, стилей и т. Д. Отключение презентации входящих HTML-сообщений электронной почты в вашем почтовом клиенте закроет наиболее известный способ атаки на EFAIL. Обратите внимание, что есть другие возможные backchannels в почтовых клиентах, которые не связаны с HTML, но их труднее использовать.

Средний срок: патч. Некоторые поставщики опубликуют исправления, которые устраняют уязвимости EFAIL или делают их намного сложнее использовать.

Долгосрочные: обновите стандарты OpenPGP и S / MIME. Атаки EFAIL используют недостатки и неопределенное поведение в стандартах MIME, S / MIME и OpenPGP. Поэтому стандарты необходимо обновить, что займет некоторое время.

https://www.bleepingcomputer.com/news/security/users-warned-of-critical-pgp-email-encryption-security-flaw/
https://efail.de/
Тэги темы:
Войдите или Зарегистрируйтесь чтобы комментировать.