電子メールを暗号化するために最も一般的に使用されるXNUMXつのシステム(PGPとS / Mime)は、暗号化されたコンテンツを読み取ることができる攻撃に対して脆弱です。 これは昨夜、明日すべての技術的な詳細を公開するヨーロッパの研究者によって明らかにされました。 ただし、当面の間は、メールクライアントからこれらの暗号化方式を使用しないようにユーザーに促します。 ミュンスター応用科学大学のコンピューターセキュリティの教授であるセバスチャンシンゼルが率いる研究者によって特定された脆弱性は、「過去に自分で送信した暗号化された電子メールを含む、暗号化された電子メールのプレーンテキストを明らかにする可能性があります」。 さらに、教授はツイッターで次のように書いています。「現時点では、検出された脆弱性に対する信頼できる解決策はありません。 非常に機密性の高い通信にPGP / GPGまたはS / MIMEを使用する場合は、できるだけ早く電子メールクライアントでそれらを無効にする必要があります。
Schinzelのつぶやきに加えて、研究者とその接触したデジタル著作権電子フロンティア財団(EFF)、のためのNGOの記事があり、「これらの脆弱性を含めて、電子メール通信のために、これらのツールを使用している人にすぐにリスクをもたらすことを確認過去のメッセージの内容の潜在的な露出 "。 EFFと研究者の助言は、PGPで暗号化された電子メールを自動的に解読するツールを即座に無効にするかアンインストールすることです。 参照がThunderbirdのプラグイン(Enigmailの)、電子メールでPGPを統合MacOSのメール(GPGTools)、およびOutlook(Gpg4win)にあります。 また、明日公開された論文の脆弱性がよりよく分析され理解されない限り、研究者の助言は、シグナルのような他の暗号化されたチャネルを使用することです。
洞察
S / MIMEは、PGPに似ており、同じサービスを提供していますが、異なると互換性のないフォーマットを採用しています。 PGPは異なり、公開鍵の配布のための信頼システムのウェブを使用して、対応するS / MIMEを使用して、デジタル証明書のリリースまで申請者の認証および検証の種々の動作を実行する証明機関を必要とします。
2つの重要な機能は、デジタル署名と "デジタルエンベロープ"です(デジタルエンベロープ):メッセージを暗号化するために使用される対称鍵は、受信者の公開鍵で暗号化され、メッセージ自体と共に送信されます。 S / MIMEは、メッセージの整合性と機密性を保証することに加えて、デジタル証明書を使用して公開鍵の所有者の認証を行います。