Advarsel: Slå PGP plug-ins i mailprogrammer fra - kritiske sårbarheder afsløres tirsdag

14. maj 2018 kl. 10:255
Advarsel: Slå PGP plug-ins i mailprogrammer fra - kritiske sårbarheder afsløres tirsdag
Illustration: Jana Runde, Ruhr University Bochum/Electronic Frontier Foundation.
Et hold sikkerhedsforskere har fundet alvorlige sårbarheder i PGPG/GPG og S/MIME-plug-ins til mailkryptering. Der er endnu ingen sikkerhedspatch klar, og derfor opfordrer sikkerhedsforskerne til, at man deaktiverer sine krypteringsværktøjer til mailprogrammer som Outlook og Apple Mail.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

En gruppe europæiske sikkerhedsforskere har udsendt noget af en advarsel.

Forskerne fortæller, at de har fundet en række kritiske sårbarheder, der kan påvirke brugere af PGP og S/MIME-kryptering af mails.

Sårbarhederne er så alvorlige, at de potentielt kan eksponere tidligere sendte mails, der har været krypteret med PGP/GPG og S/MIME.

Sikkerhedsforskerne sender en rapport ud om sårbarhederne i PGP/GPG og S/MIME tirsdag 15. maj kl. 9 om morgenen dansk tid.

Artiklen fortsætter efter annoncen

Sebastian Schinzel, professor ved det tekniske universitet FH Münster i Tyskland, skriver på Twitter, at rapporten måske vil kompromittere allerede sendte krypterede mails i klartekst.

Deaktivér dekrypteringsværktøjer nu

Sebastian Schinzel skriver også på Twitter, at der endnu ikke findes nogen sikkerhedsopdateringer, der kan lukke sårbarhederne.

Derfor opfordrer sikkerhedsforskerne sammen med Electronic Frontier Foundation(EFF) til, at man deaktiverer eller afinstallerer de værktøjer, der automatisk dekrypterer PGP-krypterede mails.

I stedet foreslår EFF, at man bruger end-to-end-krypterede løsninger som eksempelvis Signal.

EFF har samlet guides til, hvordan man deaktiverer krypteringsværktøjerne, her

5 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
4
15. maj 2018 kl. 14:30

Dem der fandt problemet er vist ikke helt enige med dig.

Men, i det mindste for PGPs vedkommende, heller ikke helt uenige.

Hvis man læser afsnit 7.2 i deres paper, så siger de at:

The S/MIME standard does not provide any effective security measures countering our attacks.

For PGP er billedet et spørgsmål om at:

The standard only vaguely states that any failures in the MDC check “MUST be treated as a security problem” and “SHOULD be reported to the user”

Det er tilpas uklart formuleret til, at nogle implementationen ikke har taget MDC fejl tilstrækkeligt alvorligt. Desuden er der et allerede kendt downgrade attack omkring SE-pakker.

Så man kan vel godt sige, at PGP standarden kunne have været klarere, men at det ikke er PGP som sådan, der er angrebet.

3
15. maj 2018 kl. 13:57

Og det er ikke en PGP fejl eller hul

Second, we describe the novel CBC/CFB gadget attacks which abuse vulnerabilities in the specification of OpenPGP and S/MIME to exfiltrate the plaintext.

Dem der fandt problemet er vist ikke helt enige med dig.

2
14. maj 2018 kl. 15:09

.. er det rigtige råd mod denne type angreb. At fjerne PGP-plugins hjælper kun på dette ene angreb, og har den ulempe, at PGP ikke fungerer.

Fra nedenstående artikel:

It only works if attackers have already captured your emails (though, that's why you use PGP/SMIME in the first place, to guard against that).</p>
<p>It only works if you've enabled your email client to automatically grab external/remote content.</p>
<p>It seems to not be easily reproducible in all cases.</p>
<p>Instead of disabling PGP/SMIME, you should make sure your email client hast remote/external content disabled -- that's a huge privacy violation even without this bug.

https://blog.erratasec.com/2018/05/some-notes-on-efail.html

1
14. maj 2018 kl. 12:47

der er info om hvad det er https://efail.de/ . Og det er ikke en PGP fejl eller hul , problemet med html mail som henter eksterne data