Специалисты предупредили о возможных уязвимостях в системах шифрования электронной почты PGP и S/MIME

Часть экспертов призывает отказаться от использования PGP и S/MIME в почтовых клиентах, а другие считают, что поводов для паники нет.

Европейские исследователи объявили о критической уязвимости в системах шифрования электронной почты PGP и S/MIME. Об этом пишет Reuters.

Профессор Мюнстерского университета прикладных наук Себастьян Шинцель написал в Twitter, что обнаруженная им и его коллегами уязвимость может быть использована для расшифровки писем, включая отправленные ранее. Подробнее о проблеме он пообещал рассказать 15 мая, но документ был опубликован уже 14 мая.

Мы опубликуем данные о критических уязвимостях в системах шифрования электронной почты PGP и S/MIME 15 мая в 7:00 (UTC). Эти узявимости позволяют открывать текст зашифрованных сообщений, включая отправленные в прошлом письма.

Та же группа ученых в 2016 году обнаружила атаку DROWN, которая затронула около 11 млн сайтов на https, отмечает The Verge.

По словам Шинцеля, в настоящий момент разработчики не могут исправить ситуацию, поэтому для собственной безопасности пользователям стоит отключить системы шифрования в почтовых клиентах.

Правозащитная организация Electronic Frontier Foundation, получившая доступ к исследованию, подчеркнула, что особому риску подвергаются пользователи, чьи почтовые сервисы автоматически дешифруют письма. EFF призвала временно отказаться от использования PGP и S/MIME и перейти на защищённые мессенджеры, например, Signal.

EFF также опубликовала руководства для отключения PGP-плагинов в сервисах Outlook, Apple Mail и Thunderbird.

Вернер Кох, создатель проекта Gnu Privacy Guard (GnuPG), который работает над стандартом OpenPGP, заявил, что считает ситуацию вокруг PGP раздутой, и что исследователи, обнаружившие уязвимость, не связывались с его командой.

Роберт Гансен, разработчик дополнения Enigmail для шифрования в почтовом клиенте Mozilla Thunderbird, порекомендовал не поддаваться панике и вовремя обновлять сервис. По его словам, найденная исследователями уязвимость PGP-системы — это уязвимость почтовых клиентов, которые используют старую версию GnuPG. Новые версии GnuPG с 2000 года оснащены стандартом Modification Detection Code (MDC), который предотвращает атаки, описанные Шинцелем и коллегами, пояснил он.

Насчёт Enigmal: не верьте в шумиху, не паникуйте. Убедитесь, что пользуетесь последней версией Enigmail. Да, мы видели документы, и из уважения к авторам мы отказываемся от дальнейших комментариев.

#новость