Шыфраванне PGP мае ўразлівасці, электронная пошта больш не з'яўляецца бяспечным сродкам сувязі

PGP

Шмат у якіх выпадках мы бачылі, так ці інакш, як літаральна Інтэрнэт не з'яўляецца бяспечным. На гэты момант праўда заключаецца ў тым, што калі кампаніі і транснацыянальныя кампаніі па ўсім свеце, тыя самыя, якім давяралі многія карыстальнікі, убачылі, як кіберзлачынцы здолелі атрымаць доступ да сваіх сервераў і скрасці паролі і асабістыя дадзеныя мільёнаў сваіх карыстальнікаў, уявіце гэта гэта можна зрабіць з значна меншымі дадаткамі, дзе ў многіх выпадках бяспека адыходзіць на другі план.

Далёка ад усяго гэтага, праўда ў тым, і гэта значна больш хвалюе, існуе мноства пратаколаў бяспекі, якія да гэтага часу здаваліся вельмі бяспечнымі, і яны пачынаюць даваць збой. З гэтай нагоды мы не будзем гаварыць пра электронную пошту альбо кампанію з імем і прозвішчам, якая прапануе вам абаронены ўліковы запіс электроннай пошты, а менавіта пра пратаколы, якія ствараюць гэтыя абароненыя платформы, якія, на думку групы даследчыкаў, могуць паступіць раскрываць усе свае электронныя лісты таму, хто валодае дастатковымі ведамі.

PGP, стандартны пратакол шыфравання электроннай пошты, мае крытычную ўразлівасць

Падрабязней падрабязна паведамляем, што гаворка ідзе пра пратаколы бяспекі, якія сёння выкарыстоўваюцца многімі кампаніямі для шыфравання і, такім чынам, прапануюць сваім кліентам значна больш бяспечную службу электроннай пошты. Канкрэтна мы гаворым пра Алгарытмы шыфравання PGP альбо S / MIME, які, як было выяўлена, пакутуе ад сур'ёзнай уразлівасці, дзякуючы якой могуць быць выкрыты ўсе зашыфраваныя паведамленні электроннай пошты ў адкрытым тэксце, нават усе тыя паведамленні, якія вы маглі адпраўляць у мінулым.

Значна прасцей зразумець і спасылацца на словы Себасцьян Шынцэль, адзін са спецыялістаў па бяспецы, якія працавалі над гэтым праектам, і, у сваю чаргу, прафесар камп'ютэрнай бяспекі ва Універсітэце прыкладных навук у Мюнстэры:

Электронная пошта і анус - бяспечны сродак зносін

Фонд Electronica Frotier адказвае за выяўленне гэтага найважнейшага недахопу ў пратаколе PGP

Каб вы маглі скласці ўяўленне пра рызыку, скажыце вам гэта Упершыню гэтая ўразлівасць была выяўлена Electronic Frontier Foundation менавіта ў панядзелак раніцай адразу пасля таго, як шматтыражная нямецкая газета перапыніла эмбарга на навіны. Пасля таго, як уся гэтая інфармацыя была апублікаваная, група еўрапейскіх даследчыкаў, якія ўдзельнічаюць у гэтым адкрыцці, літаральна пачала абвяшчаць, што людзі павінны цалкам спыніць выкарыстанне алгарытмаў шыфравання PGP, паколькі на сённяшні дзень няма выяўленых надзейных рашэнняў.

Як заявілі даследчыкі:

Атакі EFAIL выкарыстоўваюць уразлівасці ў стандартах OpenPGP і S / MIME для выяўлення зашыфраваных лістоў у звычайным тэксце. Прасцей кажучы, EFAIL злоўжывае актыўным змесцівам у электроннай пошце HTML, напрыклад, выявамі альбо стылямі, загружанымі звонку, для фільтрацыі звычайнага тэксту праз запытаныя URL-адрасы. Каб стварыць гэтыя каналы эксфільтрацыі, зламысніку спачатку трэба атрымаць доступ да зашыфраваных паведамленняў электроннай пошты, напрыклад, перахопліваючы сеткавы трафік, скампраметуючы ўліковыя запісы электроннай пошты, серверы электроннай пошты, сістэмы рэзервовага капіравання або кліенцкія кампутары. Адрасы электроннай пошты можна было нават збіраць гады таму.

Зламыснік пэўным чынам змяняе зашыфраваны электронны ліст і адпраўляе гэты маніпуляваны зашыфраваны ліст ахвяры. Кліент электроннай пошты ахвяры расшыфроўвае электронную пошту і загружае любы знешні змест, выводзячы адкрыты тэкст для зламысніка.

Шмат хто з экспертаў у галіне бяспекі думае, што гэтая ўразлівасць была завышаная

Каб даведацца крыху больш пра PGP, кажу вам, што гэта не што іншае, як праграмнае забеспячэнне для шыфравання, якое, па меншай меры да гэтага часу, лічылася стандарт бяспекі электроннай пошты. Гэты тып зашыфраванай электроннай пошты, які сёння для многіх з'яўляецца чымсьці неабходным для іх сувязі, пачаў хваляваць многія кампаніі з усіх тых паведамленняў, дзе было абвешчана пра велізарнае электроннае назіранне, якое праводзілася ўрадам Злучаных Штатаў.

У небяспецы, якую можа ўяўляць гэтая знаходка, Праўда ў тым, што ёсць шмат экспертаў, якія робяць стаўку на тое, што ўразлівасць была завышаная І ўсе занадта рэагуюць на гэтую рэкламу. Прыклад гэтага мы маем словамі Вернер кох, вядучы аўтар GNU Privacy Guard, які літаральна каментуе, што спосаб змякчыць гэтую праблему - літаральна спыніць выкарыстанне HTML-пошты і выкарыстоўваць аўтэнтыфікаванае шыфраванне.


Змест артыкула адпавядае нашым прынцыпам рэдакцыйная этыка. Каб паведаміць пра памылку, націсніце тут.

Будзьце першым, каб каментаваць

Пакіньце свой каментар

Ваш электронны адрас не будзе апублікаваны. Абавязковыя для запаўнення палі пазначаныя *

*

*

  1. Адказны за дадзеныя: Мігель Анхель Гатон
  2. Прызначэнне дадзеных: Кантроль спаму, кіраванне каментарыямі.
  3. Легітымнасць: ваша згода
  4. Перадача дадзеных: Дадзеныя не будуць перададзены трэцім асобам, за выключэннем юрыдычных абавязкаў.
  5. Захоўванне дадзеных: База дадзеных, размешчаная Occentus Networks (ЕС)
  6. Правы: у любы час вы можаце абмежаваць, аднавіць і выдаліць сваю інфармацыю.