E-postayı şifrelemek için en sık kullanılan sistemlerden ikisi - PGP ve S / Mime - şifrelenmiş içeriği okuyabilen saldırılara karşı savunmasızdır. Bu, dün gece tüm teknik detayları yarın yayınlayacak olan bazı Avrupalı araştırmacılar tarafından ortaya çıktı. Ancak bu arada, kullanıcıları bu şifreleme yöntemlerini e-posta istemcilerinden kullanmamaya çağırıyorlar. Munster Uygulamalı Bilimler Üniversitesi'nde bilgisayar güvenliği profesörü olan Sebastian Schinzel liderliğindeki araştırmacılar tarafından tespit edilen güvenlik açıkları, "geçmişte kendi kendinize gönderdiğiniz şifreli e-postalar da dahil olmak üzere şifreli e-postaların düz metnini ortaya çıkarabilir." Dahası, profesör Twitter'da şöyle yazdı: “Şu anda tespit edilen güvenlik açığı için güvenilir çözümler yok. Çok hassas iletişimler için PGP / GPG veya S / MIME kullanıyorsanız, bunları e-posta istemcinizde mümkün olan en kısa sürede devre dışı bırakmalısınız ”.
Schinzel'in tweet'lerine ek olarak, araştırmacılarla temas halinde olan ve "bu güvenlik açıklarının bu araçları e-posta iletişimi için kullananlar için acil bir risk oluşturduğunu doğrulayan, dijital haklar STK Electronic Frontier Foundation'ın bir makalesi var. geçmiş mesajların içeriğinin olası teşhiri ". EFF ve araştırmacıların tavsiyesi, PGP ile şifrelenmiş e-postaların şifresini otomatik olarak çözen araçları derhal devre dışı bırakmak veya kaldırmaktır. Referans, PGP'yi e-postalara entegre eden Thunderbird (Enigmail), macOS Mail (GPGTools) ve Outlook (Gpg4win) eklentileridir. Ve yarın yayınlanan makalede açıklanan güvenlik açıkları daha iyi analiz edilip anlaşılana kadar, araştırmacıların tavsiyesi Signal gibi diğer şifreli kanalları kullanmaktır.
Insights
S / MIME, PGP'ye benzer ve aynı hizmetleri sunar, ancak farklı ve uyumsuz biçimleri benimser. PGP farklı olarak, bir dijital sertifika serbest bırakılana kadar kimlik doğrulama ve başvuru doğrulama çeşitli işlemleri gerçekleştiren bir Sertifika Yetkilisi, karşılık gelen S / MIME gerektiren kullanılarak, kamu anahtarlarının dağıtımı için güven sisteminin bir ağ kullanılarak.
İki temel özellik, dijital imza ve "dijital zarftır" (dijital zarf): Mesajı şifrelemek için kullanılan simetrik anahtar, alıcının genel anahtarı ile şifrelenir ve mesajla birlikte gönderilir. Mesaj bütünlüğünü ve gizliliğini sağlamaya ek olarak, S / MIME, dijital sertifikalar kullanarak genel anahtarın sahibinin kimlik doğrulamasını sağlar.