Немецкие исследователи информационной безопасности опубликовали информацию о серьезных уязвимостях PGP и S/MIME, которые приводят к раскрытию информации, содержащейся в зашифрованных электронных письмах. В настоящий момент исправлений для этих ошибок безопасности не существует.

В чем проблема

PGP (Pretty Good Privacy) — это стандарт шифрования, который часто используется для обеспечения безопасности email-коммуникаций. S/MIME (Secure/Multipurpose Internet Mail Extensions) — еще один широко использующийся в сфере email инструмент шифрования.

Как удалось выяснить исследователям, обе этих технологии содержат уязвимости, используя которые злоумышленники могут получать доступ к данным, которые шифровались. Хуже того, расшифровке поддаются и сообщения, отправленные в прошлом.

Исследователи опубликовали подробное техническое описание обнаруженных ошибок, из которого становится понятно, проблемы заключаются не в работе алгоритмов шифрования, а в механизме плагинов для расшифровки сообщений.

Как защититься

Наличие «не разаглашенных» уязвимостей подтвердили представители Electronic Frontier Foundation (EFF), рекомендовав пользователям немедленно отключить плагины и почтовые клиенты, использующие уязвимые технологии

Комментарии

  1. shuron 14.05.2018 05:26 Permalink Показать / Скрыть

    Efail: Breaking S/MIME and OpenPGP Email Encryption using
    Exfiltration Channels (draft 0.9.0)

    Munster University of Applied Sciences ¨
    Ruhr University Bochum
    KU Leuven

    Немцы, неожиданно.
  2. shuron 14.05.2018 05:05 Permalink Показать / Скрыть


    The topic of that paper is that HTML is used as a back channel to create
    an oracle for modified encrypted mails. It is long known that HTML
    mails and in particular external links like
    are evil if the MUA actually honors them (which many meanwhile seem to
    do again; see all these newsletters). Due to broken MIME parsers a
    bunch of MUAs seem to concatenate decrypted HTML mime parts which makes
    it easy to plant such HTML snippets.

    There are two ways to mitigate this attack

    - Don't use HTML mails. Or if you really need to read them use a
    proper MIME parser and disallow any access to external links.

    - Use authenticated encryption.

    Как всегда эти страшилки академической натуры...
    Ими не так просто воспользоваться простому пети, а спецслужбы имеют или свои бэкдоры или свои приемы котры хитрее чисто ИТ вопросов...
    Но сейчас и гранты ученым, и тема безопасности, фирмы кинутся кормить консультантов, которые будут великодушно советовать проапгрейдится (на новые баги)...
    А Клавдия Петровна продолжит устанавливать трояны из электорнной почты

Поддержали новость

Attached file(s)

https://hsto.org/webt/_4/mr/fr/_4mrfri3emdmmhsldpg1dipcjka.png