Критическая уязвимость в системах шифрования email на основе PGP/GPG и S/MIME

Себастьян Шинцель (Sebastian Schinzel), авторитетный немецкий эксперт по компьютерной безопасности (один из авторов атаки DROWN), предупредил о выявлении критических уязвимостей в системах шифрования почтовой переписки, основанных на использовании PGP/GPG и S/MIME. Проблемы позволяют определить исходный открытый текст шифрованных писем, в том числе отправленных ранее зашифрованных писем. В настоящее время доступно лишь общее предупреждение, детали будут раскрыты 15 мая в 7 утра (UTC). Проблемам присвоено имя Efail.

Правозащитная организация Electronic Frontier Foundation (EFF)
подтвердила, что выявленные уязвимости относятся к разряду наиболее критических проблем и представляют серьёзных риск для пользователей шифрованных коммуникаций по электронной почте, особенно так как проблемы позволяют получить доступ к содержимому ранее отправленных зашифрованных сообщений.

Утверждается, что надёжно работающих исправлений проблем пока не существует, поэтому пользователям PGP/GPG и S/MIME предлагается отключить в почтовых клиентах инструменты, поддерживающие автоматическую расшифровку сообщений. До формирования исправлений пользователям предлагается временно прекратить использование PGP для отправки и приёма писем и воспользоваться альтернативными каналами обмена шифрованными сообщениями, такими как Signal. Инструкции по отключению PGP/GPG и S/MIME подготовлены для Thunderbird с Enigmail, Apple Mail c GPGTools и Outlook c Gpg4win.

Судя по отрывочным сведениям, уязвимости напрямую не затрагивают PGP/GPG и S/MIME, а проявляются в конечных решениях на базе данных систем для почтовых клиентов и связаны с функциями автоматической расшифровки. С другой стороны, среди исследователей, которые входят в команду, выявившую уязвимость, в основном представлены эксперты, специализирующиеся на криптографических алгоритмах.

Источник.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.