Advarsel: Slå PGP plug-ins i mailprogrammer fra - kritiske sårbarheder afsløres tirsdag

Illustration: Jana Runde, Ruhr University Bochum/Electronic Frontier Foundation
Et hold sikkerhedsforskere har fundet alvorlige sårbarheder i PGPG/GPG og S/MIME-plug-ins til mailkryptering. Der er endnu ingen sikkerhedspatch klar, og derfor opfordrer sikkerhedsforskerne til, at man deaktiverer sine krypteringsværktøjer til mailprogrammer som Outlook og Apple Mail.

En gruppe europæiske sikkerhedsforskere har udsendt noget af en advarsel.

Forskerne fortæller, at de har fundet en række kritiske sårbarheder, der kan påvirke brugere af PGP og S/MIME-kryptering af mails.

Sårbarhederne er så alvorlige, at de potentielt kan eksponere tidligere sendte mails, der har været krypteret med PGP/GPG og S/MIME.

Sikkerhedsforskerne sender en rapport ud om sårbarhederne i PGP/GPG og S/MIME tirsdag 15. maj kl. 9 om morgenen dansk tid.

Sebastian Schinzel, professor ved det tekniske universitet FH Münster i Tyskland, skriver på Twitter, at rapporten måske vil kompromittere allerede sendte krypterede mails i klartekst.

Læs også: Forsker: Politiet hader det, men efterretningstjenesterne elsker PGP

Deaktivér dekrypteringsværktøjer nu

Sebastian Schinzel skriver også på Twitter, at der endnu ikke findes nogen sikkerhedsopdateringer, der kan lukke sårbarhederne.

Derfor opfordrer sikkerhedsforskerne sammen med Electronic Frontier Foundation(EFF) til, at man deaktiverer eller afinstallerer de værktøjer, der automatisk dekrypterer PGP-krypterede mails.

I stedet foreslår EFF, at man bruger end-to-end-krypterede løsninger som eksempelvis Signal.

EFF har samlet guides til, hvordan man deaktiverer krypteringsværktøjerne, her

Læs også: Mikko Hyppönen: Det er for sent at forbyde stærk kryptering

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (5)
Martin Kofoed

.. er det rigtige råd mod denne type angreb. At fjerne PGP-plugins hjælper kun på dette ene angreb, og har den ulempe, at PGP ikke fungerer.

Fra nedenstående artikel:

It only works if attackers have already captured your emails (though, that's why you use PGP/SMIME in the first place, to guard against that).

It only works if you've enabled your email client to automatically grab external/remote content.

It seems to not be easily reproducible in all cases.

Instead of disabling PGP/SMIME, you should make sure your email client hast remote/external content disabled -- that's a huge privacy violation even without this bug.

https://blog.erratasec.com/2018/05/some-notes-on-efail.html

Bjarne Nielsen

Dem der fandt problemet er vist ikke helt enige med dig.

Men, i det mindste for PGPs vedkommende, heller ikke helt uenige.

Hvis man læser afsnit 7.2 i deres paper, så siger de at:

The S/MIME standard does not provide any effective security measures countering our attacks.

For PGP er billedet et spørgsmål om at:

The standard only vaguely states that any failures in the MDC check “MUST be treated as a security problem” and “SHOULD be reported to the user”

Det er tilpas uklart formuleret til, at nogle implementationen ikke har taget MDC fejl tilstrækkeligt alvorligt. Desuden er der et allerede kendt downgrade attack omkring SE-pakker.

Så man kan vel godt sige, at PGP standarden kunne have været klarere, men at det ikke er PGP som sådan, der er angrebet.

Peter Lind

Så man kan vel godt sige, at PGP standarden kunne have været klarere, men at det ikke er PGP som sådan, der er angrebet.

Ja, du har ret i at det er implementeringerne af standarden, der giver problemer. Man kunne nok med rette indvende at netop en sikkerheds-standard ikke bør give mulighed for at implementeringer kan lave problematiske fejl på denne måde - men det er stadig i implementeringerne at fejlen er lavet.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017