Cебастьян Шинцель (
Правозащитная организация Electronic Frontier Foundation (EFF)
Утверждается, что надёжно работающих исправлений проблем пока не существует, поэтому пользователям PGP/GPG и S/MIME предлагается отключить в почтовых клиентах инструменты, поддерживающие автоматическую расшифровку сообщений. До формирования исправлений пользователям предлагается временно прекратить использование PGP для отправки и приёма писем и воспользоваться альтернативными каналами обмена шифрованными сообщениями, такими как Signal. Инструкции по отключению PGP/GPG и S/MIME подготовлены для
Судя по отрывочным сведениям, уязвимости напрямую не затрагивают PGP/GPG и S/MIME, а проявляются в конечных решениях на базе данных систем для почтовых клиентов и связаны с функциями автоматической расшифровки. С другой стороны, среди
Дополнение: Разработчики GnuGP
Судя по всему, проблема связана с тем, что HTML может использоваться как канал для подстановки в письма заранее известных меток (oracle), например, через манипуляции с тегом "img". Из-за недоработок в MIME-парсерах почтовых клиентов наличие в тексте подобных меток приводят к объединению связанных с ними фрагментов с расшифрованными MIME-блоками. Данная особенность
В качестве мер защиты разработчики GnuGP предлагают использовать аутентифицированное шифрование, например,
Общий
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
), авторитетный немецкий эксперт по компьютерной безопасности (один из авторов атаки Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
), Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
о выявлении критических уязвимостей в системах шифрования почтовой переписки, основанных на использовании PGP/GPG и S/MIME. Проблемы позволяют определить исходный открытый текст шифрованных писем, в том числе отправленных ранее зашифрованных писем. В настоящее время доступно лишь общее предупреждение, детали будут раскрыты 15 мая в 7 утра (UTC). Проблемам присвоено имя Efail.Правозащитная организация Electronic Frontier Foundation (EFF)
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
, что выявленные уязвимости относятся к разряду наиболее критических проблем и представляют серьёзных риск для пользователей шифрованных коммуникаций по электронной почте, особенно так как проблемы позволяют получить доступ к содержимому ранее отправленных зашифрованных сообщений.Утверждается, что надёжно работающих исправлений проблем пока не существует, поэтому пользователям PGP/GPG и S/MIME предлагается отключить в почтовых клиентах инструменты, поддерживающие автоматическую расшифровку сообщений. До формирования исправлений пользователям предлагается временно прекратить использование PGP для отправки и приёма писем и воспользоваться альтернативными каналами обмена шифрованными сообщениями, такими как Signal. Инструкции по отключению PGP/GPG и S/MIME подготовлены для
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
, Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
и Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
.Судя по отрывочным сведениям, уязвимости напрямую не затрагивают PGP/GPG и S/MIME, а проявляются в конечных решениях на базе данных систем для почтовых клиентов и связаны с функциями автоматической расшифровки. С другой стороны, среди
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
, которые входят в команду, выявившую уязвимость, в основном представлены эксперты, специализирующиеся на криптографических алгоритмах.Дополнение: Разработчики GnuGP
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
пользователей, что проблема напрямую не касается GnuPG и Enigmail, а затрагивает методы использования PGP в почтовых клиентах. Дополнительно появилось Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
, что проблема касается только писем, переданных в формате HTML, т.е. из которых могут выполняться обращения к внешним ресурсам.Судя по всему, проблема связана с тем, что HTML может использоваться как канал для подстановки в письма заранее известных меток (oracle), например, через манипуляции с тегом "img". Из-за недоработок в MIME-парсерах почтовых клиентов наличие в тексте подобных меток приводят к объединению связанных с ними фрагментов с расшифрованными MIME-блоками. Данная особенность
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
применяться для организации Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
.В качестве мер защиты разработчики GnuGP предлагают использовать аутентифицированное шифрование, например,
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
использовать поддерживаемый в GnuPG с 2002 года механизм MDC (Modification Detection Codes) для предотвращения подстановки сторонних данных в содержимое. Атака становится невозможной, если в почтовом клиенте корректно используется MDC или реализован правильный MIME-парсер. Общий
Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!
: уязвимость не затрагивает протокол OpenPGP и его реализацию GnuPG, а охватывает только отдельные почтовые клиенты, в которых некорректно организован процесс шифрования, загружается содержимое внешних ссылок в HTML-тексте и отсутствует проверка MDC. Пожалуйста,
Вход
или
Регистрация
для просмотра содержимого URL-адресов!