E-mail-urile criptate cu ajutorul PGP ar putea fi afectate de un defect de securitate serios
O echipă de cercetători a descoperit un mod de a decripta e-mail-urile criptate cu ajutorul PGP și S/MIME, dar nu toată lumea este de aceași părere cu privire la severitatea defectului de securitate.
Cercetătorii au numit defectul de securitate eFail și au spus că afectează o duzină de furnizori de e-mail precum Apple Mail, Outlook de la Microsoft, Thunderbird, care folosesc un plug in sau un standard nativ pentru criptare, scrie pcmag.com.
Pentru a exploata defectul de securitate este necesară o copie a mesajelor criptate ale victimei. Cercetătorii au descoperit că mesajul e-mail poate fi făcut să fie afișat în format HTML, ceea ce duce la decriptarea sa.
În primul rând atacatorul trebuie să intercepteze întâi mesajele și după aceea să manipuleze modul în care sunt afișate elementele HTML, precum imaginile și formatul multimedia, permițând afișarea lor împreună cu restul mesajului, conform wired.com.
Sebastian Schinzel, unul dintre cercetătorii care a descoperit defectul de securitate, de la Universitatea de Stiinte Aplicate din Münster, a scris pe Twitter că nu există soluții de încredere care să remedieze vulnerabilitatea, sfătuind utilizatorii să nu mai folosească PGP/GPG sau S/MIME.
Kenn White, director al Open Crypto Audit Project spune că nu există încă un consens în ceea ce privește cel mai bun mod de a acționa în cazul acestei vulnerabilități. El propune pe moment dezactivarea primirii automate de mesaje în format HTML, astfel încât utilizatorul să vadă doar textul, nu și formatul și imaginile trimise.
PGP, sau Pretty Good Privacy, este considerat un standard în materie de criptare a emailurilor și a fost creat în 1991. Totuși, folosirea mesajelor criptate a devenit cu adevărat populară după ce Edward Snowden a dezvăluit, în iunie 2013, amploarea sistemelor de supraveghere folosite de SUA, scrie playtech.ro.
Conform celor de la GNU Privacy Guard, vulnerabilitatea se află în cadrul programelor care oferă servicii de email și nu în cadrul protocoalelor. De fapt, OpenPGP ar fi imun dacă ar fi folosit corect. Cu toate acestea, ”dacă ar fi folosit corect” e un argument din ce în ce mai fragil în prezent.