Две из наиболее широко используемых систем шифрования электронной почты - PGP и S / Mime - уязвимы для атак, которые могут читать зашифрованный контент. Об этом вчера вечером сообщили некоторые европейские исследователи, которые завтра опубликуют все технические подробности. Тем временем, однако, они призывают пользователей не использовать эти методы шифрования в своих почтовых клиентах. Уязвимости, выявленные исследователями, возглавляемыми Себастьяном Шинзелем, профессором компьютерной безопасности Университета прикладных наук Мюнстера, «могут раскрыть открытый текст зашифрованных электронных писем, включая зашифрованные электронные письма, которые вы отправляли себе в прошлом». Кроме того, профессор написал в Twitter, «на данный момент нет надежных решений для обнаруженной уязвимости. Если вы используете PGP / GPG или S / MIME для очень конфиденциальной связи, вам следует как можно скорее отключить их в своем почтовом клиенте ».
В дополнение к твитам Шинцеля есть статья неправительственной организации Electronic Frontier Foundation, занимающейся цифровыми правами, которая поддерживала контакты с исследователями и которая «подтверждает, что эти уязвимости представляют непосредственный риск для тех, кто использует эти инструменты для общения по электронной почте, включая возможное раскрытие содержимого прошлых сообщений ». Совет EFF и исследователей - немедленно отключить или удалить инструменты, которые автоматически расшифровывают электронные письма, зашифрованные с помощью PGP. Это ссылка на плагины Thunderbird (Enigmail), macOS Mail (GPGTools) и Outlook (Gpg4win), которые интегрируют PGP в электронную почту. И до тех пор, пока уязвимости, описанные в опубликованной завтра статье, не будут лучше проанализированы и поняты, исследователи советуют использовать другие зашифрованные каналы, такие как Signal.
Insights
S / MIME аналогичен PGP и предлагает одни и те же услуги, но использует разные и несовместимые форматы. В отличие от PGP, который использует сеть доверительной системы для распространения открытых ключей, корреспондентам, использующим S / MIME, требуется Центр сертификации, который выполняет различные операции аутентификации и проверки заявителя до выдачи цифрового сертификата.
Двумя основными характеристиками являются цифровая подпись и «цифровой конверт» (цифровой конверт): симметричный ключ, используемый для шифрования сообщения, шифруется открытым ключом получателя и отправляется вместе с сообщением. Помимо обеспечения целостности и конфиденциальности сообщений, S / MIME обеспечивает аутентификацию владельца открытого ключа с помощью цифровых сертификатов.