ΕΛ/ΛΑΚ | creativecommons.gr | mycontent.ellak.gr |
freedom

Σημαντικό κενό ασφάλειας στο PGP και στο S/MIME

Οι χρήστες που χρησιμοποιούν το PGP (βασισμένο στο OpenPGP) και το S/MIME για την κρυπτογράφηση και αποκρυπτογράφηση των επικοινωνιών τους,  θα πρέπει να είναι προσεκτικοί μιας και η κρυπτογραφημένη αλληλογραφία τους βρίσκεται άμεσο κίνδυνο. Ο λόγος είναι ότι μια ομάδα Ευρωπαίων ερευνητών βρήκε κρίσιμα ελαττώματα στα πρότυπα κρυπτογράφησης και προς το παρόν δεν υπάρχουν διορθώσεις διαθέσιμες.

Οι ευπάθειες που ονομάζονται EFAIL είναι επιβλαβείς, καθώς μπορούν να αποκαλύψουν το περιεχόμενο των κρυπτογραφημένων μηνυμάτων σε απλό κείμενο, ακόμη και για τα μηνύματα από το παρελθόν.

Εάν ένας επιτιθέμενος αποκτήσει πρόσβαση στα κρυπτογραφημένα μηνύματα ηλεκτρονικού ταχυδρομείου ενός θύματος μέσω μεθόδων όπως η υποκλοπή ή την είσοδο σε compromised λογαριασμoύς ηλεκτρονικού ταχυδρομείου, το EFAIL μπορεί να χρησιμοποιηθεί για να “καταχραστεί το ενεργό περιεχόμενο των ηλεκτρονικών μηνυμάτων HTML, για παράδειγμα, εξωτερικά φορτωμένες εικόνες ή στυλ”.

Ένα τροποποιημένο κρυπτογραφημένο μήνυμα ηλεκτρονικού ταχυδρομείου που αποστέλλεται από τον εισβολέα στο θύμα, αποκρυπτογραφείται από τον client του ηλεκτρονικού ταχυδρομείου του. Κάνοντας αυτό, ο client φορτώνει οποιοδήποτε εξωτερικό περιεχόμενο, εξάγοντας έτσι το απλό κείμενο στον εισβολέα.

Η κρυπτογράφηση PGP χρησιμοποιείται ως επί το πλείστον από πολιτικούς ακτιβιστές, δημοσιογράφους και whistleblowers ως ένα επιπλέον επίπεδο κρυπτογράφησης. Από την άλλη πλευρά, το S / MIME χρησιμοποιείται κυρίως σε εταιρικές υποδομές.

Το κενό ασφάλειας είναι αρκετά σοβαρό,  και Electronic Frontier Foundation (EFF) έβγαλε και αυτό μια ανακοίνωση που συμβουλεύει τους χρήστες να «σταματήσουν προσωρινά την αποστολή και ειδικά να διαβάζουν το κρυπτογραφημένο ηλεκτρονικό ταχυδρομείο PGP». Οι χρήστες πρέπει να απενεργοποιήσουν ή να καταργήσουν αμέσως τα εργαλεία που αποκρυπτογραφούν αυτόματα κρυπτογραφημένα μηνύματα ηλεκτρονικού ταχυδρομείου PGP μέχρι να κατανοηθούν και να διορθωθούν τα ελαττώματα, δήλωσε το EFF και δημοσίευσε οδηγούς για το Thunderbird, το Apple Mail, και το Outlook.

Μια πιο μόνιμη επιδιόρθωση απαιτεί αλλαγές στα πρότυπα του OpenPGP και του  S/MIME και δεν πρόκειται να συμβεί εν μία νυκτί. Εν τω μεταξύ, ορισμένοι διανομείς λογισμικού  αναμένεται να δημοσιεύσουν patches για να μετριάσουν τις επιθέσεις του EFAIL.  Προσωρινά για ασφαλή κρυπτογραφημένα μηνύματα θα πρέπει να χρησιμοποιήσετε άλλη μέθοδο κρυπτογράφησης.

Διαβάστε μια πιο αναλυτική εκτίμηση της ευπάθειας στο https://www.eff.org/deeplinks/2018/05/not-so-pretty-what-you-need-know-about-e-fail-and-pgp-flaw-0

Πηγή άρθρου: https://www.eff.org/

One thought on “Σημαντικό κενό ασφάλειας στο PGP και στο S/MIME

Leave a Comment