Критическая уязвимость в системах шифрования email на основе PGP/GPG и S/MIME

  • Автор темы HHIDE_DUMP
  • Дата начала
  • Просмотры 2K
  • На форуме работает ручное одобрение пользователей. Это значит, что, если Ваша причина регистрации не соответствует тематике форума, а также Вы используете временную почту, Ваша учётная запись будет отклонена без возможности повторной регистрации. В дальнейшем - пожизненная блокировка обоих аккаунтов за создание мультиаккаунта.
  • Мы обновили Tor зеркало до v3!
    Для входа используйте следующий url: darkv3nw2...bzad.onion/
  • Мы вновь вернули telegram чат форуму, вступайте, общайтесь, задавайте любые вопросы как администрации, так и пользователям!
    Ссылка: https://t.me/chat_dark_time

HHIDE_DUMP

Гость
H

HHIDE_DUMP

Гость
Cебастьян Шинцель (
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
), авторитетный немецкий эксперт по компьютерной безопасности (один из авторов атаки
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
),
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
о выявлении критических уязвимостей в системах шифрования почтовой переписки, основанных на использовании PGP/GPG и S/MIME. Проблемы позволяют определить исходный открытый текст шифрованных писем, в том числе отправленных ранее зашифрованных писем. В настоящее время доступно лишь общее предупреждение, детали будут раскрыты 15 мая в 7 утра (UTC). Проблемам присвоено имя Efail.

Правозащитная организация Electronic Frontier Foundation (EFF)
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
, что выявленные уязвимости относятся к разряду наиболее критических проблем и представляют серьёзных риск для пользователей шифрованных коммуникаций по электронной почте, особенно так как проблемы позволяют получить доступ к содержимому ранее отправленных зашифрованных сообщений.

Утверждается, что надёжно работающих исправлений проблем пока не существует, поэтому пользователям PGP/GPG и S/MIME предлагается отключить в почтовых клиентах инструменты, поддерживающие автоматическую расшифровку сообщений. До формирования исправлений пользователям предлагается временно прекратить использование PGP для отправки и приёма писем и воспользоваться альтернативными каналами обмена шифрованными сообщениями, такими как Signal. Инструкции по отключению PGP/GPG и S/MIME подготовлены для
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
,
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
и
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
.

Судя по отрывочным сведениям, уязвимости напрямую не затрагивают PGP/GPG и S/MIME, а проявляются в конечных решениях на базе данных систем для почтовых клиентов и связаны с функциями автоматической расшифровки. С другой стороны, среди
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
, которые входят в команду, выявившую уязвимость, в основном представлены эксперты, специализирующиеся на криптографических алгоритмах.

Дополнение: Разработчики GnuGP
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
пользователей, что проблема напрямую не касается GnuPG и Enigmail, а затрагивает методы использования PGP в почтовых клиентах. Дополнительно появилось
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
, что проблема касается только писем, переданных в формате HTML, т.е. из которых могут выполняться обращения к внешним ресурсам.

Судя по всему, проблема связана с тем, что HTML может использоваться как канал для подстановки в письма заранее известных меток (oracle), например, через манипуляции с тегом "img". Из-за недоработок в MIME-парсерах почтовых клиентов наличие в тексте подобных меток приводят к объединению связанных с ними фрагментов с расшифрованными MIME-блоками. Данная особенность
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
применяться для организации
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
.

В качестве мер защиты разработчики GnuGP предлагают использовать аутентифицированное шифрование, например,
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
использовать поддерживаемый в GnuPG с 2002 года механизм MDC (Modification Detection Codes) для предотвращения подстановки сторонних данных в содержимое. Атака становится невозможной, если в почтовом клиенте корректно используется MDC или реализован правильный MIME-парсер.

Общий
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
: уязвимость не затрагивает протокол OpenPGP и его реализацию GnuPG, а охватывает только отдельные почтовые клиенты, в которых некорректно организован процесс шифрования, загружается содержимое внешних ссылок в HTML-тексте и отсутствует проверка MDC.

Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
 

О нас

  • Наше сообщество существует уже много лет и гордится тем, что предлагает непредвзятое, критическое обсуждение различных тем среди людей разных слоев общества. Мы работаем каждый день, чтобы убедиться, что наше сообщество является одним из лучших.

    Dark-Time 2015 - 2022

    При поддержке: XenForo.Info

Быстрая навигация

Меню пользователя