luka w szyfrowaniu wiadomości e-mail PGP i S/MIME
7

Uwaga: odkryto poważną lukę w szyfrowanych wiadomościach e-mail

Narzędzie PGP Pretty Good Privacy od lat cieszyło się nieposzlakowaną opinią. Jeżeli na co dzień dbacie o poufność waszej korespondencji i korzystacie z automatycznego szyfrowania PGP lub S/MIME, to bądźcie ostrożni - kilka godzin temu specjaliści od bezpieczeństwa podzielili się informacjami o odkrytej przez siebie luce.

Problemy z szyfrowaniem PGP i S/MIME

Jak czytamy na Zaufanej Trzeciej Stronie, ekipa zajmująca się sprawami bezpieczeństwa odkryła lukę, przez którą można przeprowadzić skuteczne ataki na szyfrowaną w ten sposób komunikację. Co więcej: poza wiadomościami które dopiero nadejdą, miałaby ona zapewnić dostęp także do całej historii rozmów. Na tę chwilę nie ma też żadnej łatki, która pozwoliłaby się przed takimi atakami zabezpieczyć — jedynym sposobem jest wyłączenie przetwarzania kodu HTML po stronie klienta, bo to właśnie za jego pośrednictwem wykonywany jest atak:

Atakujący tworzy specjalnie spreparowaną wiadomość, o określonym początku i końcu (aktywny HTML), w środek wstawiając wiadomość zaszyfrowaną, której treści nie zna,

Jeżeli na co dzień korzystacie z tych metod szyfrowania, to na stronie EFF znajdziecie dokładne instrukcje jak wyłączyć pluginy PGP w klientach Thunderbird, Apple Mail i Outlook. Z przetestowanych programów podatnych było 10 z 28 klientów (OpenPGP) i 25 z 35 (S/MIME).

Mimo że poznaliśmy już pierwsze z rozwiązań, to trzeba mieć na uwadze, że wszyscy odbiorcy muszą wprowadzić nowe ustawienia.

O luce, jak zwykło się ją już nazywać — EFAIL, wiemy dopiero od kilku godzin. Już teraz jednak warto być wyczulonym i w przypadku prowadzenia poufnej korespondencji dokonać zmian w programach pocztowych, a może nawet zmienić metodę kontaktu, czy chociażby typ zabezpieczeń. Nie wygląda to najlepiej, a prawdopodobnie wprowadzenie stosownych zmian w korporacyjnych strukturach będzie ogromnym przedsięwzięciem — ale póki nie ma lepszego sposobu na uporanie się z problemem, to jedyny sposób by zadbać o bezpieczeństwo korespondencji…

Źródło, grafika: EFF, Zaufana Trzecia Strona