Специалисты предупредили о возможных уязвимостях в системах шифрования электронной почты PGP и S/MIME Статьи редакции

Часть экспертов призывает отказаться от использования PGP и S/MIME в почтовых клиентах, а другие считают, что поводов для паники нет.

Европейские исследователи объявили о критической уязвимости в системах шифрования электронной почты PGP и S/MIME. Об этом пишет Reuters.

Профессор Мюнстерского университета прикладных наук Себастьян Шинцель написал в Twitter, что обнаруженная им и его коллегами уязвимость может быть использована для расшифровки писем, включая отправленные ранее. Подробнее о проблеме он пообещал рассказать 15 мая, но документ был опубликован уже 14 мая.

We'll publish critical vulnerabilities in PGP/GPG and S/MIME email encryption on 2018-05-15 07:00 UTC. They might r…

Мы опубликуем данные о критических уязвимостях в системах шифрования электронной почты PGP и S/MIME 15 мая в 7:00 (UTC). Эти узявимости позволяют открывать текст зашифрованных сообщений, включая отправленные в прошлом письма.

Та же группа ученых в 2016 году обнаружила атаку DROWN, которая затронула около 11 млн сайтов на https, отмечает The Verge.

По словам Шинцеля, в настоящий момент разработчики не могут исправить ситуацию, поэтому для собственной безопасности пользователям стоит отключить системы шифрования в почтовых клиентах.

Правозащитная организация Electronic Frontier Foundation, получившая доступ к исследованию, подчеркнула, что особому риску подвергаются пользователи, чьи почтовые сервисы автоматически дешифруют письма. EFF призвала временно отказаться от использования PGP и S/MIME и перейти на защищённые мессенджеры, например, Signal.

EFF также опубликовала руководства для отключения PGP-плагинов в сервисах Outlook, Apple Mail и Thunderbird.

Вернер Кох, создатель проекта Gnu Privacy Guard (GnuPG), который работает над стандартом OpenPGP, заявил, что считает ситуацию вокруг PGP раздутой, и что исследователи, обнаружившие уязвимость, не связывались с его командой.

Роберт Гансен, разработчик дополнения Enigmail для шифрования в почтовом клиенте Mozilla Thunderbird, порекомендовал не поддаваться панике и вовремя обновлять сервис. По его словам, найденная исследователями уязвимость PGP-системы — это уязвимость почтовых клиентов, которые используют старую версию GnuPG. Новые версии GnuPG с 2000 года оснащены стандартом Modification Detection Code (MDC), который предотвращает атаки, описанные Шинцелем и коллегами, пояснил он.

Speaking for Enigmail: don't believe the hype. Don't panic. Make sure you're running the latest version of Enigma…

Насчёт Enigmal: не верьте в шумиху, не паникуйте. Убедитесь, что пользуетесь последней версией Enigmail. Да, мы видели документы, и из уважения к авторам мы отказываемся от дальнейших комментариев.
0
3 комментария
sdff
Часть экспертов призывает отказаться от использования PGP…

И начать пользоваться защищённым Телеграмом. Ага, отличный план.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Владимир

сжечь

Ответить
Развернуть ветку
Revertron

Забыть.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку
0 комментариев
Раскрывать всегда