Egyelőre csak a PGP és az S/MIME használatát egyszerűsítő plug-inek kikapcsolásával vagy törlésével orvosolható az a sérülékenység, amit német kutatók találtak a levéltitkosításban. Az részleteket egyelőre nem közölték. A hiba kihasználásával könnyedén visszafejthető a titkosított mailek tartalma. A probléma az, hogy régebben küldött leveleket is veszélyeztetheti a biztonsági rés.
Az EFF későbbre ígérte a részletes leírást, de jó tanácsot adott a közvetlen veszélyek elhárítására.
Tiltsa le vagy törölje mindenki az olyan plug-ineket, melyek automatizálják a levéltitkosítást – írja tanácsként az EFF (Electronic Frontier Foundation) tegnapi közleményében. A tanácsoat már csak azért is ajánlatos megfogadni, mert Sebastian Schinzel, a Münsteri Egyetem IT-biztonsági professzora szerint egyelőre nincs is átfogó javítás a sérülékenységre.
A probléma érinti a Thunderbird használt Enigmailt, az Apple Mailben használt GPGToolst és az Outlookhoz használható Gpg4win programot is. A plug-inek helyett az olyan végponti titkosítás használatát javasolják, mint például a Signal.
Nem a PGP szabvánnyal van gond
Az EFF mindhárom levelező plug-injének letiltásához adott részletes leírást. A Thunderbirdhöz itt, Az Apple Mailhez itt, az Outlookhoz pedig itt található a segítség.
Ugyanakkor több biztonsági szakértő – köztük Mikko Hyppönen, az F-Secure kutatási vezetője – túlzottnak tartja a pánikot. Szerintük ugyanis a hiba nem a PGP szabványban van, hanem a dekódolást végző plug-inekkel lehet gond – egyébként az EFF közleménye is erre utal. A neves biztonsági szakértő, Werner Koch (nevéhez fűződik a GNU Privacy Guard) szintén úgy véli, hogy az EFF túlreagálta az ügyet. Ő egyébként a GnuPG oldalán közzétett nyílt levelében, hogy az OpenPGP biztonságos volt amellett érvel.
Az ördög azonban nem alszik. Amíg bármiféle konkrétum kiderül, érdemes megfontolni az Electronic Frontier Foundation tanácsait.
Ez a cikk független szerkesztőségi tartalom, mely a T-Systems Magyarország támogatásával készült. Részletek »
Adathelyreállítás pillanatok alatt
A vírus- és végpontvédelmet hatékonyan kiegészítő Zerto, a Hewlett Packard Enterprise Company platformfüggetlen, könnyen használható adatmentési és katasztrófaelhárítási megoldása.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak