Dwa z najczęściej używanych systemów szyfrowania wiadomości e-mail - PGP i S / Mime - są podatne na ataki, które mogą odczytać zaszyfrowaną zawartość. Zostało to ujawnione wczoraj wieczorem przez niektórych europejskich naukowców, którzy jutro opublikują wszystkie szczegóły techniczne. W międzyczasie jednak wzywają użytkowników, aby nie używali tych metod szyfrowania ze swoich klientów poczty e-mail. Luki zidentyfikowane przez badaczy, kierowanych przez Sebastiana Schinzela, profesora bezpieczeństwa komputerowego na Uniwersytecie Nauk Stosowanych w Munster, „mogą ujawnić zwykły tekst zaszyfrowanych wiadomości e-mail, w tym zaszyfrowanych wiadomości e-mail, które zostały wysłane w przeszłości”. Ponadto profesor napisał na Twitterze: „w tej chwili nie ma wiarygodnych rozwiązań dla wykrytej luki. Jeśli używasz PGP / GPG lub S / MIME do bardzo wrażliwej komunikacji, powinieneś jak najszybciej wyłączyć je w swoim kliencie pocztowym ”.
Oprócz tweetów Schinzela istnieje artykuł organizacji pozarządowej Electronic Frontier Foundation zajmującej się prawami cyfrowymi, z którą skontaktowali się naukowcy i który „potwierdza, że luki te stanowią bezpośrednie zagrożenie dla tych, którzy używają tych narzędzi do komunikacji e-mailowej. możliwe ujawnienie treści wcześniejszych wiadomości ”. Rada EFF i badaczy polega na natychmiastowym wyłączeniu lub odinstalowaniu narzędzi, które automatycznie odszyfrowują wiadomości e-mail zaszyfrowane za pomocą PGP. Dotyczy to wtyczek Thunderbird (Enigmail), macOS Mail (GPGTools) i Outlook (Gpg4win), które integrują PGP z wiadomościami e-mail. Dopóki luki opisane w opublikowanym jutro artykule nie zostaną lepiej przeanalizowane i zrozumiane, naukowcy radzą, aby używać innych zaszyfrowanych kanałów, takich jak Signal.
Insights
S / MIME jest analogiczny do PGP i oferuje te same usługi, ale przyjmuje inne i niekompatybilne formaty. W przeciwieństwie do PGP, który używa sieci systemu zaufania do dystrybucji kluczy publicznych, korespondenci używający S / MIME potrzebują urzędu certyfikacji, który wykonuje różne operacje uwierzytelniania i walidacji wnioskodawcy do czasu wydania certyfikatu cyfrowego.
Dwie podstawowe cechy to podpis cyfrowy i „koperta cyfrowa” (koperta cyfrowa): klucz symetryczny używany do szyfrowania wiadomości jest szyfrowany kluczem publicznym odbiorcy i wysyłany wraz z wiadomością. Oprócz zapewnienia integralności i poufności wiadomości, S / MIME zapewnia uwierzytelnianie właściciela klucza publicznego za pomocą certyfikatów cyfrowych.