להצפנת PGP יש פגיעות, דוא"ל כבר אינו אמצעי תקשורת מאובטח

PGP

רבים הם המקרים שבהם ראינו, בצורה כזו או אחרת, כמה שפשוט האינטרנט אינו בטוח. בנקודה זו, האמת היא שאם חברות ורב-לאומיות ברחבי העולם, אלה שמשתמשים רבים סומכים עליהם, ראו כיצד פושעי סייבר הצליחו לגשת לשרתים שלהם ולגנוב את הסיסמאות והנתונים האישיים של מיליוני המשתמשים שלהם, דמיין זאת ניתן לעשות זאת עם יישומים קטנים בהרבה, כאשר במקרים רבים, האבטחה תופסת מושב אחורי.

רחוק מכל זה, האמת היא, וזה הרבה יותר מדאיג, ישנם פרוטוקולי אבטחה רבים, שעד כה נראו מאובטחים מאוד, שמתחילים להיכשל. בהזדמנות זו אנחנו לא מתכוונים לדבר על אימייל או חברה עם שם ושם משפחה שמציעים לך חשבון דוא"ל מאובטח, אלא בדיוק על הפרוטוקולים שמייצרים פלטפורמות מאובטחות אלה, שעל פי קבוצת חוקרים יכולים להגיע לחשוף את כל המיילים שלך לכל מי שיש לו ידע מספיק.

ל- PGP, פרוטוקול ההצפנה הסטנדרטי לדוא"ל, יש פגיעות קריטית

אם נפרט קצת יותר, תודיע לך שאנחנו מדברים על פרוטוקולי האבטחה המשמשים כיום חברות רבות להצפנה ובכך מציעים ללקוחותיהם שירות דוא"ל מאובטח בהרבה. באופן ספציפי אנחנו מדברים על אלגוריתמי הצפנה של PGP או S / MIME, אשר, כפי שהתגלה, סובל מפגיעות חמורה לפיה ניתן לחשוף את כל הודעות הדוא"ל המוצפנות בטקסט רגיל, אפילו את כל ההודעות שהיית יכול לשלוח בעבר.

בצורה הרבה יותר קלה להבין ולהתייחס למילים של סבסטיאן שינזל, אחד ממומחי האבטחה שעבדו על פרויקט זה ובתורו פרופסור לאבטחת מחשבים באוניברסיטה למדעים שימושיים במינסטר:

דוא"ל ופי הטבעת הם אמצעי תקשורת מאובטח

קרן אלקטרוניקה פרוטייה הייתה אחראית להעלאת פגם קריטי זה בפרוטוקול PGP

כדי לתת לנו מושג לגבי הסיכון, אמור לך את זה פגיעות זו זוהתה לראשונה על ידי קרן גבולות אלקטרוניים דווקא ביום שני בבוקר ממש אחרי שעיתון גרמני גדול תפוצה פרץ אמברגו חדשותי. לאחר פרסום כל המידע הזה, קבוצת החוקרים האירופאים המעורבים בתגלית זו החלה פשוטו כמשמעו להודיע ​​כי אנשים צריכים להפסיק להשתמש באלגוריתמי הצפנת PGP לחלוטין מכיוון שעד היום אין פתרונות מהימנים כנגד הפגיעות שזוהתה.

כפי שהצהירו החוקרים:

התקפות EFAIL מנצלות את הפגיעות בתקני OpenPGP ו- S / MIME כדי לחשוף הודעות דוא"ל מוצפנות בטקסט רגיל. במילים פשוטות, EFAIL עושה שימוש לרעה בתוכן פעיל בדוא"ל HTML, כגון תמונות או סגנונות שטעונים חיצונית, כדי לסנן טקסט רגיל באמצעות כתובות אתרים מבוקשות. כדי ליצור ערוצי הסברה אלה, התוקף צריך תחילה לקבל גישה לדוא"ל המוצפן, למשל על ידי יירוט תעבורת רשת, התפשרות על חשבונות דואר אלקטרוני, שרתי דואר אלקטרוני, מערכות גיבוי או מחשבי לקוח. ניתן היה לאסוף את המיילים אפילו לפני שנים.

התוקף משנה דוא"ל מוצפן בצורה מסוימת ושולח דוא"ל מוצפן מניפולציה זה לקורבן. לקוח הדוא"ל של הקורבן מפענח את הדוא"ל וטוען כל תוכן חיצוני, ומסנן את הטקסט הפשוט לתוקף.

רבים הם מומחי האבטחה שחושבים כי פגיעות זו הוערכה יתר על המידה

לדעת קצת יותר על PGP, תגיד לך שזו לא יותר מתוכנת הצפנה שנחשבה לפחות עד עכשיו ל תקן לאבטחת דואר אלקטרוני. סוג זה של דוא"ל מוצפן, עבור רבים כיום משהו חיוני לתקשורת שלהם, החל להדאיג חברות רבות מכל הדיווחים שבהם הוכרז על המעקב האלקטרוני העצום שמבצעת ממשלת ארצות הברית.

בתוך הסכנה שממצא זה עלול להוות, האמת היא שיש מומחים רבים שמהמרים שהפגיעות הוערכה יתר על המידה וכולם מגיבים יתר על המידה למודעה זו. דוגמה לכך יש לנו במילים של ורנר קוק, המחבר הראשי של GNU Privacy Guard שממש מעיר שהדרך למתן בעיה זו היא תרתי משמע להפסיק להשתמש בדואר HTML ולהשתמש בהצפנה מאומתת.


תוכן המאמר עומד בעקרונותינו של אתיקה עריכתית. כדי לדווח על שגיאה לחץ כאן.

היה הראשון להגיב

השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם.

*

*

  1. אחראי לנתונים: מיגל אנחל גטון
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.