Černý den e-mailu. Šifrované zprávy (PGP a S/MIME) lze číst i bez klíče

14. 5. 2018

Sdílet

 Autor: Redakce

Skupina evropských výzkumníků v čele se Sebastianem Schinzelem, profesorem na univerzitě v německém Münsteru, objevila zranitelnosti ve dvou nejpoužívanějších standardech pro end-to-end šifrování e-mailových zpráv. Díry v PGP a S/MIME dovolují útočníkům přečíst znění zpráv i bez znalosti privátního klíče, a to i u všech dříve poslaných e-mailů.

Detaily zatím neznáme, výzkumníci je prozradí až zítra v 9:00 našeho času. Electronic Frontier Foundation o zranitelnostech informoval dopředu a doporučuje, aby lidé přestali tyto kanály používat. Na webu má i návody, jak odstranit doplňky pro PGP v populárních klientech Thunderbird (Enigmail), Apple Mail (GPGTools) a Outlook (Gpg4win). Používat u citlivé komunikace nešifrovaný a špatně šifrovaný e-mail prý vyjde nastejno.

https://twitter.com/seecurity/status/995906576170053633

ICTS24

EEF proto doporučuje prozatím používat jiné programy nabízející end-to-end šifrování, jako příklad dává Signal. Shodou okolností zrovna velké problémy trápí i jej. Jak informuje Hacker News, klientské programy Singalu pro Windows a Linux byly rovněž děravé a je možné (avšak nepotvrzené), že se útočníkům mohlo podařit na dálku získávat šifrovací klíče uživatelů.

Aktualizováno (15. 5. 2018) – Popis zranitelností je venku. Víc v článku Šifrování e-mailů: Co znamená aféra Efail pro PGP a S/MIME?