暗号化された電子メールを送信および受信するためにPGPを使用している場合は、コミュニケーションのプライバシーを維持するために別のサービスに切り替える時が来るかもしれません。陽気にエフェイルと呼ばれる真新しい脆弱性、メールの内容を明らかにすることができます(特定の場合は古い電子メールでさえ)プレーンテキストの。さようなら、秘密。
お気に入りの電子メールサービスを使用して通常のメッセージを友達に送信するだけなら、素晴らしいニュースレターを読んでください、またはあなたが爆発に怒っているビジネスを置くと、これらの問題はあなたにまったく影響しません。 PGPを使用しているかどうかは、プログラムの前提全体が中に基づいているため、パブリックキーとプライベートキーを使用します- テキストの文字列 - メッセージを暗号化および復号化する。秘密のメッセージ、理想的には、あなたがあなたの重要な他の人に送りたい面白い猫の画像だけでなく、理想的には。
一部の企業やセキュリティ志向の人々は、HTMLの電子メールを確実に受け取らないようにしている場合、プレーンテキストにスイッチするだけでなく、あなたは大丈夫だと指摘しているため、現在、EFAILの脆弱性が実際にどれほど問題であるかについて、いくつかの議論があります。 Gnupgのようにウェルナー・コッホ書く:
「この攻撃を軽減するには、2つの方法があります
-HTMLメールを使用しないでください。または、実際に読む必要がある場合は、適切なMimeパーサーを使用して、外部リンクへのアクセスを許可しません。
- 認証された暗号化を使用します。」
問題がPGPとS/MIMEにあるかどうか電子フロンティア財団のメモ、または電子メールクライアント自体で、暗号化された通信による快適レベルが次のステップを決定します。としてefail.de注意、安全な通信に対するEFAILの効果を軽減するために採用できるいくつかの手法があります。
「短期:電子メールクライアントに復号化はありません。 EFAIL攻撃を防ぐ最良の方法は、電子メールクライアントの外側の別のアプリケーションでS/MIMEまたはPGPメールのみを復号化することです。電子メールクライアントからS/MIMEおよびPGPプライベートキーを削除することから始めてから、Ciphertextをコピーして別のアプリケーションに貼り付けて、暗号化された電子メールを復号化します。そうすれば、電子メールクライアントはexfltrationチャネルを開くことができません。これは現在、プロセスがより関与するという欠点を備えた最も安全なオプションです。
短期:HTMLレンダリングを無効にします。 EFAILは、主にHTML画像、スタイルなどの形でアクティブなコンテンツを悪用します。電子メールクライアントで着信HTML電子メールのプレゼンテーションを無効にすると、EFAILを攻撃する最も顕著な方法が閉鎖されます。メールクライアントには、HTMLに関係のない他のバックチャネルがあるが、これらは悪用するのがより困難であることに注意してください。
中期:パッチ。一部のベンダーは、EFAILの脆弱性を修正するか、悪用するのがはるかに難しくなるパッチを公開します。
長期:OpenPGPおよびS/MIME標準を更新します。 EFAIL攻撃は、MIME、S/MIME、およびOpenPGP標準の欠陥と未定義の動作を活用します。したがって、標準を更新する必要があります。これには時間がかかります。」
私たちのアドバイス?たぶん、暗号化された通信に電子メールの使用をやめる時が来たでしょう。 EFFは、これを少なくとも一時的な解決策として示唆しています。
「研究者を反映したアドバイスは、PGP暗号化された電子メールを自動的に復号化するツールを直ちに無効にしてアンインストールすることです。論文で説明されている欠陥がより広く理解され、固定されるまで、ユーザーは信号などの代替エンドツーエンドのセキュアチャネルの使用を手配し、一時的にPGP暗号化された電子メールの送信と読み取りを停止する必要があります。」
有線で説明されているように2017年の記事、信号、whatsapp、confide、さらにはエンドツーエンドの暗号化を備えたアプリSkype- いくつかの名前を付けます- 保護されたコミュニケーションを(今のところ)送信するのに最適です。
それは、これらのアプリのいずれか、またはメッセージを保護するために使用する信号プロトコルでさえ、将来のエクスプロイトの影響を受けないということではありませんが全て 品種)、エンドツーエンドの暗号化が組み込まれているメッセージングアプリは、最もプライベートメッセージの電子メールの代替として考慮する価値があります。それらは、特に誰かが反対側に侵害されたデバイスを持っている場合、絶対に困難ではありませんが、違いを我慢できれば、何もないよりはましです:
このツイートは現在利用できません。ロードされているか、削除されている可能性があります。
