PGP Verschlësselung huet Schwachlëchkeeten, E-Mail ass net méi e séchert Kommunikatiounsmëttel

PGP

Vill sinn déi Geleeënheeten, wou mir op enger oder anerer Manéier gesinn hunn, wéi wuertwiertlech den Internet net sécher ass. Zu dësem Zäitpunkt ass d'Wourecht datt wann Firmen a Multinationalen ronderëm d'Welt, déi selwecht wéi vill Benotzer vertraut hunn, gesinn hunn wéi Cybercriminals et fäerdeg bruecht hunn op hir Serveren ze kommen an d'Passwierder a perséinlech Date vu Millioune vun hire Benotzer ze klauen, stellt Iech vir ka mat vill méi klengen Uwendunge gemaach ginn, wou a ville Geleeënheeten d'Sécherheet e Backseat hëlt.

Wäit ewech vun all deem, d'Wourecht ass dat, an dat ass vill méi beonrouegend, et gi vill Sécherheetsprotokoller, déi bis elo ganz sécher geschéngt hunn, déi fänken un ze falen. Bei dëser Geleeënheet schwätze mir net iwwer eng E-Mail oder eng Firma mat engem Numm a Familljennumm deen Iech e sécheren E-Mail-Kont bitt, awer präzis iwwer d'Protokoller déi dës sécher Plattforme maachen, déi, no enger Grupp vu Fuerscher, kéinte kommen all Är E-Maile fir jiddereen mat genuch Wëssen auszesetzen.

PGP, de Standard Verschlësselungsprotokoll fir E-Mail, huet eng kritesch Schwachstelle

Gitt e bësse méi detailléiert, loosst Iech wëssen datt mir iwwer d'Sécherheetsprotokoller schwätzen, déi haut vu ville Firme benotzt gi fir ze verschlësselen an doduerch hire Clienten e vill méi sécheren E-Mail Service ubidden. Speziell schwätze mir iwwer PGP oder S / MIME Verschlësselungsalgorithmen, déi, wéi et entdeckt gouf, ënner enger seriöer Schwachstelle leiden, woubäi all verschlësselte Mailen am Kloertext kënnen ausgesat ginn, och all déi Messagen, déi Dir an der Vergaangenheet schéckt.

Op eng vill méi einfach Manéier ze verstoen an op d'Wierder vum Sebastian schinzel, ee vun de Sécherheetsspezialisten, déi un dësem Projet geschafft hunn an, am Tour, Professer fir Computersécherheet op der University of Applied Sciences zu Münster:

E-Mail an Anus ass e séchert Kommunikatiounsmëttel

D'Electronica Frotier Foundation war verantwortlech fir dëse kritesche Feeler am PGP Protokoll un d'Liicht ze bréngen

Fir eis eng Iddi vum Risiko ze ginn, sot Dir dat Dës Schwachstelle gouf fir d'éischt vun der Electronic Frontier Foundation detektéiert präzis e Méindeg de Moien just nodeems eng grouss Zirkulatioun däitsch Zeitung en Neiegkeetembargo gebrach huet. Wann all dës Informatioun ëffentlech gemaach gouf, huet d'Grupp vun europäesche Fuerscher, déi un dëser Entdeckung bedeelegt sinn, wuertwiertlech ugefaang matzedeelen datt d'Leit ophale mat PGP-Verschlësselungsalgorithmen komplett ze benotzen, well bis haut gi keng zouverléisseg Léisunge géint déi erkannt Schwachstelle.

Wéi d'Fuerscher gesot hunn:

EFAIL Attacken exploitéiere Schwachlëchkeet an den OpenPGP an S / MIME Standarden fir verschlësselt E-Mailen am Kloertext z'entdecken. Einfach ausgedréckt, EFAIL mëssbraucht aktiven Inhalt an HTML E-Mail, wéi extern gelueden Biller oder Stiler, fir Kloertext iwwer gefrote URLen ze filteren. Fir dës Exfiltratiounskanäl ze kreéieren, muss den Ugräifer fir d'éischt Zougang zu de verschlësselten E-Maile kréien, zum Beispill andeems en Netzverkéier interceptéiert, E-Mailkonten, E-Mail Serveren, Backup Systemer oder Client Computere kompromittéiert. D'E-Maile kéinte souguer viru Jore gesammelt goufen.

Den Ugräifer verännert eng verschlësselt E-Mail op eng gewëssen Aart a schéckt dës manipuléiert verschlësselt E-Mail un d'Affer. Den E-Mail Client vum Affer entschlëssert d'E-Mail a lued all externen Inhalt, exfiltréiert de Kloertext zum Ugräifer.

Vill sinn d'Sécherheetsexperten déi mengen datt dës Schwachstelle iwwerschätzt gouf

Fir e bësse méi iwwer PGP, soen Iech datt et näischt anescht ass wéi eng Verschlësselungssoftware déi, op d'mannst bis elo, als als Standard fir E-Mail Sécherheet. Dës Zort verschlësselte E-Mail, fir vill haut eppes Wesentlech fir hir Kommunikatioun, huet ugefaang vill Firmen aus all deene Berichter ze suergen, wou déi enorm elektronesch Iwwerwaachung, déi vun der US Regierung duerchgefouert gouf, ugekënnegt gouf.

Bannent der Gefor datt dës Erklärung duerstellt, D'Wourecht ass datt et vill Experten ginn déi wetten datt d'Vulnerabilitéit iwwerschätzt gouf A jiddereen iwwerreagéiert op dës Annonce. E Beispill dofir hu mir an de Wierder vum Werner koch, Leadautor vun GNU Privacy Guard deen wuertwiertlech kommentéiert datt de Wee fir dëst Problem ze reduzéieren wuertwiertlech ass stoppt mat HTML Mail a benotzt authentifizéiert Verschlësselung.


Den Inhalt vum Artikel hält sech un eis Prinzipie vun redaktionnell Ethik. Fir e Feeler ze mellen klickt hei.

Gitt d'éischt fir ze kommentéieren

Gitt Äre Kommentar

Är Email Adress gëtt net publizéiert ginn. Néideg Felder sinn markéiert mat *

*

*

  1. Responsabel fir d'Daten: Miguel Ángel Gatón
  2. Zweck vun den Donnéeën: Kontroll SPAM, Kommentarmanagement.
  3. Legitimatioun: Är Zoustëmmung
  4. Kommunikatioun vun den Donnéeën: D'Donnéeë ginn net un Drëttubidder matgedeelt ausser duerch legal Verpflichtung.
  5. Datenspeicher: Datebank gehost vun Occentus Networks (EU)
  6. Rechter: Zu all Moment kënnt Dir Är Informatioun limitéieren, recuperéieren an läschen.