Авторизация  
Патриарх

В PGP нашлась серьезная «дыра»

В теме 1 сообщение

В стандартах шифрования электронной почты PGP и S/MIME выявлена уязвимость, позволяющая потенциальным злоумышленникам расшифровывать содержимое электронных писем, в том числе тех, что были отправлены и получены в прошлом.

Заявившие об этом независимые эксперты по безопасности обещают опубликовать все необходимые подробности, пока же рекомендуют прекратить использование и PGP, и S/MIME.

PGP (англ. Pretty Good Privacy) - это решение и библиотека функций, позволяющая шифровать цифровые подписи сообщений, файлов и другую информацию, представленную в электронном виде.

S/MIME (Secure/Multipurpose Internet Mail Extensions) — общераспространенный стандарт для шифрования и подписи в электронной почте с помощью открытого ключа.

Эксперты утверждают, что реально работающих способов нейтрализовать проблему пока не существует.

Проблема преувеличена?

Сразу после предварительной публикации сведений об уязвимостях в твиттере эксперта по безопасности, Себастиана Шинцеля (Sebastian Schinzel), профессора Университета Мюнстера, некоторые подробности о проблеме утекли в публичный доступ.
В частности, разработчики GnuPG, «открытой» альтернативы PGP, заявили, что острота проблемы преувеличена, и что по сути речь идет не об уязвимости протоколов как таковых, а о слабых местах почтовых клиентов и парсеров, которые не производят адекватной проверки ошибок при дешифровании и «переходят по ссылкам в письмах в формате HTML».

«Единственное, что сейчас можно сказать с уверенностью, это что электронные письма следует отправлять только в формате plaintext, без HTML, и что до выяснения всех обстоятельств лучше прекратить использовать PGP и, по возможности, S/MIME, - считает Олег Галушкин, эксперт по информационной безопасности компании SEC Consult Services. - К отказу от их использования призывает и Фонд электронного фронтира (EFF)».

Эксперты EFF получили доступ к исследованию раньше других, поэтому их рекомендации заслуживают того, чтобы как минимум к ним прислушаться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
Авторизация