Egyelőre csak a PGP és az S/MIME használatát egyszerűsítő plug-inek kikapcsolásával vagy törlésével orvosolható az a sérülékenység, amit német kutatók találtak a levéltitkosításban. Az részleteket egyelőre nem közölték. A hiba kihasználásával könnyedén visszafejthető a titkosított mailek tartalma. A probléma az, hogy régebben küldött leveleket is veszélyeztetheti a biztonsági rés.

Az EFF későbbre ígérte a részletes leírást, de jó tanácsot adott a közvetlen veszélyek elhárítására.

Tiltsa le vagy törölje mindenki az olyan plug-ineket, melyek automatizálják a levéltitkosítást – írja tanácsként az EFF (Electronic Frontier Foundation) tegnapi közleményében. A tanácsoat már csak azért is ajánlatos megfogadni, mert Sebastian Schinzel, a Münsteri Egyetem IT-biztonsági professzora szerint egyelőre nincs is átfogó javítás a sérülékenységre.

A probléma érinti a Thunderbird használt Enigmailt, az Apple Mailben használt GPGToolst és az Outlookhoz használható Gpg4win programot is. A plug-inek helyett az olyan végponti titkosítás használatát javasolják, mint például a Signal.

Nem a PGP szabvánnyal van gond

Az EFF mindhárom levelező plug-injének letiltásához adott részletes leírást. A Thunderbirdhöz itt, Az Apple Mailhez itt, az Outlookhoz pedig itt található a segítség.

Ugyanakkor több biztonsági szakértő – köztük Mikko Hyppönen, az F-Secure kutatási vezetője – túlzottnak tartja a pánikot. Szerintük ugyanis a hiba nem a PGP szabványban van, hanem a dekódolást végző plug-inekkel lehet gond – egyébként az EFF közleménye is erre utal. A neves biztonsági szakértő, Werner Koch (nevéhez fűződik a GNU Privacy Guard) szintén úgy véli, hogy az EFF túlreagálta az ügyet. Ő egyébként a GnuPG oldalán közzétett nyílt levelében, hogy az OpenPGP biztonságos volt amellett érvel.

Az ördög azonban nem alszik. Amíg bármiféle konkrétum kiderül, érdemes megfontolni az Electronic Frontier Foundation tanácsait.

Ez a cikk független szerkesztőségi tartalom, mely a T-Systems Magyarország támogatásával készült. Részletek »