Šifrované PGP aj S/MIME emaily majú vážny problém, experti radia zastaviť ich používanie

Značky: bezpečnosťemailšifrovaniePGP

DSL.sk, 14.5.2018

Skupina európskych bezpečnostných expertov identifikovala viacero kritických bezpečnostných zraniteľností, ktoré majú dopad na používanie šifrovaných emailov oboma hlavnými štandardami PGP aj S/MIME.

Spoločne na to upozornili experti aj organizácia EFF, zatiaľ bez bližších podrobností. Tie zverejnia zajtra o 9:00 nášho času.

PGP aj S/MIME sú štandardami pre end-to-end šifrovanie emailov, pri ktorých sa email zašifruje s využitím asymetrických šifier verejným kľúčom príjemcu emailu. Odšifrovať ho tak môže len držiteľ privátneho kľúča príjemcu.

Oba štandardy kombinujú asymetrickú šifru so symetrickou, keď asymetrickou šifrujú len kľúč symetrického šifrovacieho algoritmu používaného ná šifrovanie samotného emailu.

Zraniteľnosti podľa jedného z autorov Sebastiana Schinzela môžu odhaliť originálnu podobu šifrovaných emailov vrátane emailov poslaných v minulosti.

We'll publish critical vulnerabilities in PGP/GPG and S/MIME email encryption on 2018-05-15 07:00 UTC. They might reveal the plaintext of encrypted emails, including encrypted emails sent in the past. #efail 1/4

— Sebastian Schinzel (@seecurity) May 14, 2018

Akej presne povahy sú tieto zraniteľnosti nie je zatiaľ jasné, podľa náznakov by mohlo ísť o implementačné ale bežne prítomné zraniteľnosti. EFF totiž v súlade s expertami užívateľom odporúča aby okamžite zakázali alebo odinštalovali softvéry na automatické dešifrovanie PGP emailov, prestali posielať ale najmä čítať šifrované PGP emaily.

Podľa Schinzela pre zraniteľnosti zatiaľ nie je k dispozícii spoľahlivá oprava.

EFF ponúka návody ako dočasne zakázať PGP pluginy Enigmail pre Thunderbird, GPGTools pre Apple Mail a Gpg4win pre Outlook.

V prípade potreby end-to-end šifrovanej komunikácie odporúča EFF používať zatiaľ dočasne do zverejnenia, pochopenia a opravy zraniteľností iné riešenia ako napríklad Signal.




Najnovšie články:



Diskusia:

adfadfa Od: adfadfa | Pridané: 14.5.2018 8:59 off topic: ide vam gmail? email s prilohou, ktory som si tam poslal pred hodinou stale nedosiel. prazdny email prisiel po 14 minutach... Odpovedať Známka: 3.3 Hodnotiť:

Re: adfadfa Od: pherel | Pridané: 14.5.2018 9:09 Z gmailu na gmail funguje. Testované s 1,5 MB prílohou. Teraz. Odpovedať Známka: 6.0 Hodnotiť:

Re: adfadfa Od: adfadfa | Pridané: 14.5.2018 12:49 no, tak ten mail mi prisiel teraz, po cca 5 hodinach Odpovedať Známka: 6.7 Hodnotiť:

Re: adfadfa Od: matok0 | Pridané: 14.5.2018 14:54 To vyzerá tak, akoby správu nad gmailom prebrali odborníci zo slovensko.sk Odpovedať Známka: 10.0 Hodnotiť:

Security Od: Shasho | Pridané: 14.5.2018 9:55 Ujo je IT sekuritak, nie kuchar. A jeho meno sa cita schincel, nie schnicel. Odpovedať Známka: 5.6 Hodnotiť:

Tak uz vieme Od: Jßfjktirn | Pridané: 14.5.2018 10:01 Ze preco tak lahko v poslednej dobe chytaju vendorov na dark marketoch. Uz v 1998 som hovoril ze PGP je picovina ktora vam bezpecnost nezaruci. A lala preslo iba 20 rokov a uz je to oficialne. Odpovedať Známka: -5.6 Hodnotiť:

Re: Tak uz vieme Od: lal | Pridané: 14.5.2018 10:13 mne sa paci to odporucanie prejst na Signal kde desktopova verzia je derava a androidova je ,well, na androide :D zavislost od (((google cloud))) a zdielanie kontaktov ani neriesim Odpovedať Známka: 5.6 Hodnotiť:

Re: Tak uz vieme Od: _____ | Pridané: 14.5.2018 16:38 android nutne nevyzaduje tie google appky, dokonca pri prvom spusteni nie je potrebne prihlasenie google uctom, da sa to preskocit Odpovedať Hodnotiť:

Re: Tak uz vieme Od: Mxxl | Pridané: 14.5.2018 10:50 ja tvrdím že všetko šifrovanie čo je teraz, je pi**** a sa v budúcnosti ukáže moja pravda... to isté... Odpovedať Známka: -5.6 Hodnotiť:

Re: Tak uz vieme Od: Oer Oer | Pridané: 14.5.2018 11:19 Skoda len, ze za 20 rokov si to nebol schopny preukazat (a ani teraz nie si). Odpovedať Známka: 10.0 Hodnotiť:

Re: Tak uz vieme Od: syntaxterrorX XX | Pridané: 14.5.2018 11:25 Presne tak. Pisanie emailov uplne malym fontom na zadnu stranu je priekazne najbezpecne. Odpovedať Známka: 3.3 Hodnotiť:

EFAIL Od: random | Pridané: 14.5.2018 12:18 Uz je to von: https://efail.de/ Odpovedať Známka: 10.0 Hodnotiť:

Re: EFAIL Od: Sht00r | Pridané: 14.5.2018 12:33 Kam von to je? Ked nieco je, tak jedine vonku, nie von? Kde? Vonku! - Kam? Von! ... jedine tak a nikdy inak Odpovedať Známka: 0.5 Hodnotiť:

Re: EFAIL Od: Makro | Pridané: 14.5.2018 15:19 Áno, toto trebalo vysvetliť. Odpovedať Známka: 10.0 Hodnotiť:

Re: EFAIL Od: quix_zabudol_som_heslo | Pridané: 14.5.2018 14:54 dik za info: TLDR; Short term: Disable HTML rendering. - ktokolvek pouziva by default rendering html mailov je jemne retardovany.. Medium term: Patching. Long term: Update OpenPGP and S/MIME standards. Odpovedať Známka: 5.0 Hodnotiť:

Re: EFAIL Od: asdcasda | Pridané: 14.5.2018 15:13 Cize podla toho nie je problem PGP/GPG samotnom, ale v jeho nekoser pouziti v klientoch. Cize odporucanie je jedonduche - siforvat a desifrovat v extra aplikacii a do emailu to len prigrcnut ako attachement. Odpovedať Známka: 10.0 Hodnotiť:

Pridať komentár