Ghostery и Cliqz: Критическая уязвимость популярных протоколов шифрования электронной почты

• Специалисты по безопасности из трёх крупных европейских университетов сообщили о критических уязвимостях в основных протоколах шифрования электронной почты PGP (GPG) и S/MIME. Пора паниковать? Ghostery и Cliqz постарались собрать во едино всю имеющуюся на данный момент информацию.

EFAIL:
Критическая уязвимость популярных протоколов шифрования электронных писем PGP и S/MIME

Если злоумышленник получит доступ к письмам, зашифрованным по протоколу PGP или S/MIME, он сможет самостоятельно их расшифровать.Эксперты пока не знают, как закрыть уязвимость. На данный момент пользователям рекомендуют отключить автоматическую расшифровку зашифрованных писем.

Специалисты по безопасности из Мюнтерского университета прикладных наук, Рурский университет в Бохуме и Лёвенского католического университета обнарушили критические уязвимости в популярных методах шифрования электронных писем OpenPGP и S/MIME. Они разработали две модели атаки (EFAIL), которые могут быть использованы для расшифровки других зашифрованных сообщений. Однако, злоумышленникам всё равно сперва придётся получить доступ к вашей электронной почте.

Другими словами, на данным момент возможно два способа EFAIL-атаки. Первый из них одинаково хорошо подходит как для PGP, так и для S/MIME шифрования. Уязвимость кроется не в алгоритме шифрования, а в том, как именно почтовые клиенты обрабатывают зашифрованные сообщения. Атакующим необходимо соблюсти всего два условия:

• у злоумышленника уже должен быть доступ к зашифрованному тексту, который не может быть прочитан без специального ключа
• пользователь должен разрешить просмотр HTML писем в своём почтовом клиенте

Если оба эти условия соблюдены, атакующий может заставить почтовый клиент расшифровать сообщение и переслать его в открытом незашифрованном виде.

• Злоумышленник может изменить текст зашифрованного по протоколу PGP или S/MIME сообщения таким образом, чтобы почтовый клиент, расшифровав сообщение, переслал его злоумышленнику в виде обычного текста. Схема - Яна Рунд и Сюзана Соморовска, CC0.

Второй тип атаки использует уязвимости в спецификации OpenPGP и S/MIME. Это особенно опасно в случае с S/MIME, так как именно таким образом почти всегда структурированы электронные письма. Если злоумышленник знает содержимое зашифрованного текста, он может изменить блоки зашифрованного сообщения и, когда письмо будет расшифровано, почтовый клиент автоматически перешлёт ему копию.

Возможности закрыть уязвимость пока нет

По словам руководителя исследовательской группы Себастьяна Шинцеля, надёжных способов закрыть уязвимость пока не существует. И пока решение проблемы не будет найдено, он рекомендует просто отключить в почтовом клиенте PGP/GPG и S/MIME шифрование.

There are currently no reliable fixes for the vulnerability. If you use PGP/GPG or S/MIME for very sensitive communication, you should disable it in your email client for now. Also read @EFF’s blog post on this issue: https://t.co/zJh2YHhE5q #efail 2/4

— Sebastian Schinzel (@seecurity) May 14, 2018

Другими словами, лучшее, что вы сейчас можете сделать, это просто отключить или полностью удалить инструменты, с помощью которых вы автоматически расшифровывали письма, зашифрованные по протоколу PGP. Фонд электронных рубежей (Electronic Frontier Foundation, EFF) уже опубликовал подробные инструкции для Thunderbird и Enigmail, Apple Mail и GPG, Outlook и GPG4win.Подробности EFAIL-атак и всю техническую документацию можно найти на специально сайта – EFAIL.de

Бьёрн Грейф,

редактор блога Ghostery и Cliqz

• Расширение Ghostery с недавних пор принадлежит немецкому браузеру Cliqz. Формально Ghostery и Cliqz по-прежнему разрабатываются разными командами, но разобраться, кому именно принадлежат те или иные заслуги, теперь довольно сложно, – прим.

Что почитать?

• В системах шифрования электронной почты PGP (GPG) и S/MIME нашли критическую уязвимость / Meduza
• Эксперты по компьютерной безопасности призвали отказаться от шифрования почты / Meduza 
• Возможные уязвимости в системах шифрования электронной почты PGP и S/MIME / VC.ru
• Критические уязвимости в популярных протоколах шифрования электронной почты PGP и S/MIME / TJournal

• Всё, что следует знать о E-Fail и PGP Flaw / EFF
• PGP и EFAIL: Часто задаваемые вопросы / EFF
• Способы защиты электронной почты / EFF

• Почтовые клиенты со встроенным PGP и S/MIME шифрованием могут быть уязвимы / TNW
• Исследование: популярные стандарты шифрования вовсе не так безопасны / Reuters
• Исследователи обнаружили уязвимость в популярных протоколах шифрования электронной почты / TheVerge 

За сим всё...
Рассказать друзьям через AddThis или Shareaholic
Translate via Google, Yandex, Bing or Promt
Другие публикации от Ghostery и Cliqz
The same in English

• All notes in English
• All notes in Russian