Ang pag-encrypt ng PGP ay may mga kahinaan, ang email ay hindi na isang ligtas na paraan ng komunikasyon

Juan Luis Arboledas

4 Minutos

PGP

Marami ang mga okasyong nakita natin, sa isang paraan o sa iba pa, kung gaano literal ang internet ay hindi ligtas. Sa puntong ito, ang totoo ay kung ang mga kumpanya at multinasyunal sa buong mundo, ang parehong mga pinagkakatiwalaan ng maraming mga gumagamit, ay nakita kung paano pinamamahalaang ma-access ng mga cybercriminal ang kanilang mga server at nakawin ang mga password at personal na data ng milyun-milyong kanilang mga gumagamit, isipin Ito ay maaaring gawin sa mas maliit na mga application kung saan, sa maraming mga okasyon, ang seguridad ay tumatagal ng isang backseat.

Malayo sa lahat ng ito, ang totoo ay iyon, at ito ay higit na nag-aalala, maraming mga security protokol, na hanggang ngayon ay tila napaka-ligtas, na nagsisimulang mabigo. Sa okasyong ito hindi kami mag-uusap tungkol sa isang email o isang kumpanya na may pangalan at apelyido na nag-aalok sa iyo ng isang ligtas na email account, ngunit tiyak tungkol sa mga protokol na ginawa ng mga ligtas na platform na ito, na ayon sa isang pangkat ng mga mananaliksik, ay maaaring dumating upang mailantad ang lahat ng iyong mga email sa sinumang may sapat na kaalaman.

Ang PGP, ang karaniwang encryption protocol para sa email, ay may isang kritikal na kahinaan

Pagpunta sa isang maliit na karagdagang detalye, sasabihin sa iyo na pinag-uusapan namin ang tungkol sa mga security security na ginagamit ngayon ng maraming mga kumpanya upang i-encrypt at sa gayon ay mag-alok sa kanilang mga customer ng mas ligtas na serbisyo sa email. Partikular na pinag-uusapan natin Mga algorithm ng pag-encrypt ng PGP o S / MIME, kung saan, tulad ng natuklasan, naghihirap mula sa isang seryosong kahinaan kung saan ang lahat ng naka-encrypt na mga plaintext na email ay maaaring mailantad, kahit na ang lahat ng mga mensahe na maaari mong ipadala sa nakaraan.

Sa isang mas madaling paraan upang maunawaan at mag-refer sa mga salita ng Sebastian schinzel, isa sa mga dalubhasa sa seguridad na nagtatrabaho sa proyektong ito at, siya namang, propesor ng seguridad ng kompyuter sa Münster University of Applied Science:

Ang email at anus ay isang ligtas na paraan ng komunikasyon

Ang Electronica Frotier Foundation ay responsable para sa pagbibigay ng ilaw sa kritikal na kapintasan na ito sa PGP protocol

Upang bigyan kami ng isang ideya ng panganib, sabihin sa iyo iyon Ang kahinaan na ito ay unang napansin ng Electronic Frontier Foundation tiyak sa Lunes ng umaga pagkatapos lamang ng isang malawakang sirkulasyon ng Aleman na pumutok ang isang embargo ng balita. Kapag ang lahat ng impormasyong ito ay naisapubliko, ang pangkat ng mga mananaliksik sa Europa na kasangkot sa pagtuklas na ito ay literal na nagsimulang ipahayag na ang mga tao ay dapat na tumigil sa paggamit ng mga algorithm ng pag-encrypt ng PGP nang buong panahon, tulad ng ngayon, walang maaasahang solusyon laban sa nakita na kahinaan.

Tulad ng sinabi ng mga mananaliksik:

Sinasamantala ng pag-atake ng EFAIL ang mga kahinaan sa pamantayan ng OpenPGP at S / MIME upang ihayag ang mga naka-encrypt na email sa payak na teksto. Sa madaling salita, inaabuso ng EFAIL ang aktibong nilalaman sa HTML email, tulad ng mga panlabas na na-load na imahe o istilo, upang mag-filter ng payak na teksto sa pamamagitan ng mga hiniling na URL. Upang likhain ang mga channel ng pagsasabog na ito, kailangan munang makakuha ng access ang nag-atake sa mga naka-encrypt na email, halimbawa sa pamamagitan ng pagharang sa trapiko sa network, pagkompromiso sa mga email account, email server, backup system o client computer. Ang mga email ay maaaring nakolekta taon na ang nakakalipas.

Binabago ng umaatake ang isang naka-encrypt na email sa isang tiyak na paraan at ipinapadala ang manipulasyong naka-encrypt na email sa biktima. Inaalis ng email client ng biktima ang email at na-upload ang anumang panlabas na nilalaman, na nagpapahiwatig ng plaintext sa umaatake.

Marami ang mga eksperto sa seguridad na iniisip na ang kahinaan na ito ay na-overestimate

Upang malaman ng kaunti pa tungkol sa PGP, sabihin sa iyo na ito ay hindi hihigit sa isang software ng pag-encrypt na, kahit papaano hanggang ngayon, ay isinasaalang-alang bilang pamantayan para sa seguridad ng email. Ang ganitong uri ng naka-encrypt na email, para sa marami ngayon na isang bagay na mahalaga para sa kanilang mga komunikasyon, ay nagsimulang magalala ng maraming mga kumpanya mula sa lahat ng mga ulat na iyon kung saan inihayag ang napakalaking elektronikong pagsubaybay na isinagawa ng gobyerno ng Estados Unidos.

Sa loob ng panganib na maaaring magpose ang paghahanap na ito, ang totoo ay maraming mga eksperto na tumaya na ang kahinaan ay na-overestimate At lahat ay labis na reaksiyon sa ad na ito. Isang halimbawa nito mayroon kami sa mga salita ng Werner koch, nangungunang may-akda ng GNU Privacy Guard na literal na nagkomento na ang paraan upang mapagaan ang problemang ito ay literal itigil ang paggamit ng HTML mail at gumamit ng napatunayan na pag-encrypt.


Iwanan ang iyong puna

Ang iyong email address ay hindi nai-publish. Mga kinakailangang patlang ay minarkahan ng *

*

*

  1. Responsable para sa data: Miguel Ángel Gatón
  2. Layunin ng data: Kontrolin ang SPAM, pamamahala ng komento.
  3. Legitimation: Ang iyong pahintulot
  4. Komunikasyon ng data: Ang data ay hindi maiparating sa mga third party maliban sa ligal na obligasyon.
  5. Imbakan ng data: Ang database na naka-host ng Occentus Networks (EU)
  6. Mga Karapatan: Sa anumang oras maaari mong limitahan, mabawi at tanggalin ang iyong impormasyon.