หลายครั้งที่เราได้เห็นไม่ทางใดก็ทางหนึ่งว่าอินเทอร์เน็ตไม่ปลอดภัยอย่างแท้จริง ณ จุดนี้ความจริงก็คือหาก บริษัท และ บริษัท ข้ามชาติทั่วโลกซึ่งเป็น บริษัท เดียวกับที่ผู้ใช้จำนวนมากเชื่อถือได้เห็นว่าอาชญากรไซเบอร์จัดการเข้าถึงเซิร์ฟเวอร์ของตนได้อย่างไรและขโมยรหัสผ่านและข้อมูลส่วนตัวของผู้ใช้หลายล้านคนลองนึกดูว่า สามารถทำได้ด้วยแอพพลิเคชั่นขนาดเล็กกว่ามากซึ่งในหลาย ๆ กรณีการรักษาความปลอดภัยจะใช้เบาะหลัง
ไกลจากทั้งหมดนี้ความจริงก็คือและสิ่งนี้น่ากังวลกว่ามาก มีโปรโตคอลความปลอดภัยจำนวนมากซึ่งจนถึงขณะนี้ดูเหมือนปลอดภัยมากซึ่งเริ่มล้มเหลว. ในโอกาสนี้เราจะไม่พูดถึงอีเมลหรือ บริษัท ที่มีชื่อและนามสกุลที่เสนอบัญชีอีเมลที่ปลอดภัยให้กับคุณ แต่เกี่ยวกับโปรโตคอลที่แพลตฟอร์มที่ปลอดภัยเหล่านี้สร้างขึ้นซึ่งตามที่กลุ่มนักวิจัยระบุไว้ เพื่อเปิดเผยอีเมลทั้งหมดของคุณกับทุกคนที่มีความรู้เพียงพอ
PGP ซึ่งเป็นโปรโตคอลการเข้ารหัสมาตรฐานสำหรับอีเมลมีช่องโหว่ที่สำคัญ
ในรายละเอียดเพิ่มเติมเล็กน้อยโปรดแจ้งให้คุณทราบว่าเรากำลังพูดถึงโปรโตคอลความปลอดภัยที่ปัจจุบันหลาย บริษัท ใช้ในการเข้ารหัสและทำให้ลูกค้าของพวกเขาได้รับบริการอีเมลที่ปลอดภัยมากขึ้น โดยเฉพาะที่เราพูดถึง อัลกอริทึมการเข้ารหัส PGP หรือ S / MIMEซึ่งตามที่มีการค้นพบนั้นมีช่องโหว่ที่ร้ายแรงซึ่งสามารถเปิดเผยอีเมลข้อความธรรมดาที่เข้ารหัสทั้งหมดได้แม้กระทั่งข้อความทั้งหมดที่คุณสามารถส่งได้ในอดีต
ในวิธีที่ง่ายกว่ามากในการทำความเข้าใจและอ้างถึงคำพูดของ Sebastian schinzelหนึ่งในผู้เชี่ยวชาญด้านความปลอดภัยที่ทำงานในโครงการนี้และในทางกลับกันศาสตราจารย์ด้านการรักษาความปลอดภัยคอมพิวเตอร์ที่มหาวิทยาลัยวิทยาศาสตร์ประยุกต์ในมึนสเตอร์:
อีเมลและทวารหนักเป็นวิธีการสื่อสารที่ปลอดภัย
Electronica Frotier Foundation รับผิดชอบในการนำเสนอข้อบกพร่องที่สำคัญนี้ในโปรโตคอล PGP
เพื่อให้เราทราบถึงความเสี่ยงโปรดบอกคุณว่า ช่องโหว่นี้ถูกตรวจพบครั้งแรกโดย Electronic Frontier Foundation อย่างแม่นยำในเช้าวันจันทร์หลังจากที่หนังสือพิมพ์เยอรมันฉบับหนึ่งเผยแพร่ข่าวการห้ามส่งออก เมื่อข้อมูลทั้งหมดนี้ถูกเปิดเผยต่อสาธารณะกลุ่มนักวิจัยชาวยุโรปที่เกี่ยวข้องกับการค้นพบนี้ได้เริ่มประกาศอย่างแท้จริงว่าผู้คนควรหยุดใช้อัลกอริธึมการเข้ารหัส PGP โดยสิ้นเชิงเนื่องจาก ณ วันนี้ไม่มีวิธีแก้ปัญหาที่เชื่อถือได้สำหรับช่องโหว่ที่ตรวจพบ
ตามที่นักวิจัยได้ระบุไว้:
การโจมตี EFAIL ใช้ช่องโหว่ในมาตรฐาน OpenPGP และ S / MIME เพื่อเปิดเผยอีเมลที่เข้ารหัสเป็นข้อความธรรมดา พูดง่ายๆคือ EFAIL ละเมิดเนื้อหาที่ใช้งานอยู่ในอีเมล HTML เช่นรูปภาพหรือสไตล์ที่โหลดจากภายนอกเพื่อกรองข้อความธรรมดาผ่าน URL ที่ร้องขอ ในการสร้างช่องทางการกำจัดเหล่านี้ผู้โจมตีจำเป็นต้องเข้าถึงอีเมลที่เข้ารหัสก่อนเช่นโดยการดักจับการรับส่งข้อมูลในเครือข่ายการบุกรุกบัญชีอีเมลเซิร์ฟเวอร์อีเมลระบบสำรองหรือคอมพิวเตอร์ไคลเอนต์ อีเมลอาจถูกรวบรวมเมื่อหลายปีก่อน
ผู้โจมตีเปลี่ยนอีเมลที่เข้ารหัสด้วยวิธีใดวิธีหนึ่งและส่งอีเมลเข้ารหัสที่ถูกจัดการนี้ไปยังเหยื่อ ไคลเอนต์อีเมลของเหยื่อจะถอดรหัสอีเมลและโหลดเนื้อหาภายนอกใด ๆ โดยดึงข้อความธรรมดาไปยังผู้โจมตี
หลายคนเป็นผู้เชี่ยวชาญด้านความปลอดภัยที่คิดว่ามีการประเมินช่องโหว่นี้สูงเกินไป
หากต้องการทราบข้อมูลเพิ่มเติมเกี่ยวกับ PGPบอกคุณว่าไม่มีอะไรมากไปกว่าซอฟต์แวร์เข้ารหัสที่อย่างน้อยจนถึงขณะนี้ได้รับการพิจารณาว่าเป็นไฟล์ มาตรฐานสำหรับความปลอดภัยของอีเมล. อีเมลเข้ารหัสประเภทนี้สำหรับหลาย ๆ คนในปัจจุบันซึ่งเป็นสิ่งที่จำเป็นสำหรับการสื่อสารของพวกเขาเริ่มสร้างความกังวลให้หลาย บริษัท จากรายงานทั้งหมดที่มีการประกาศการเฝ้าระวังทางอิเล็กทรอนิกส์ขนาดใหญ่ที่ดำเนินการโดยรัฐบาลสหรัฐอเมริกา
ภายในอันตรายที่การค้นพบนี้อาจก่อให้เกิด ความจริงก็คือมีผู้เชี่ยวชาญหลายคนที่พนันว่ามีการประเมินช่องโหว่สูงเกินไป และทุกคนก็แสดงปฏิกิริยากับโฆษณานี้มากเกินไป ตัวอย่างนี้เรามีในคำพูดของ เวอร์เนอร์โคชผู้เขียนนำของ GNU Privacy Guard ซึ่งแสดงความคิดเห็นอย่างแท้จริงว่าวิธีการบรรเทาปัญหานี้เป็นไปอย่างแท้จริง หยุดใช้เมล HTML และใช้การเข้ารหัสที่พิสูจน์ตัวตน.