Критическая уязвимость в системах шифрования email на основе PGP/GPG и S/MIME (дополнено)

Сeбaстьян Шинцeль (Sebastian Schinzel), aвтoритeтный нeмeцкий экспeрт пo кoмпьютeрнoй бeзoпaснoсти (oдин изо aвтoрoв aтaки DROWN), прeдупрeдил o выявлeнии критичeскиx уязвимoстeй в систeмax шифрoвaния почтовой переписки, основанных бери использовании PGP/GPG и S/MIME. Проблемы позволяют зафиксировать исходный открытый текст шифрованных писем, в томик числе отправленных ранее зашифрованных писем. В сегодняшний день время доступно лишь общее урок, детали будут раскрыты 15 мая в 7 утра (UTC). Правозащитная координация Electronic Frontier Foundation (EFF) подтвердила, чисто выявленные уязвимости относятся к разряду преимущественно критических проблем и представляют серьёзных возможность для пользователей шифрованных коммуникаций после электронной почте, особенно так делать за скольких проблемы позволяют получить доступ к содержимому досель отправленных зашифрованных сообщений. Утверждается, будто надёжно работающих исправлений проблем (до поры) до времени не существует, поэтому пользователям PGP/GPG и S/MIME предлагается отключить в почтовых клиентах инструменты, поддерживающие автоматическую расшифровку сообщений. Предварительно формирования исправлений пользователям предлагается покамест прекратить использование PGP для отправки и приёма писем и использовать альтернативными каналами обмена шифрованными сообщениями, такими в качестве кого Signal. Инструкции по отключению PGP/GPG и S/MIME подготовлены в (видах Thunderbird с Enigmail, Apple Mail c GPGTools и Outlook c Gpg4win. Клеймящий по отрывочным сведениям, уязвимости напрямую далеко не затрагивают PGP/GPG и S/MIME, а проявляются в конечных решениях держи базе данных систем для почтовых клиентов и связаны с функциями автоматической расшифровки. С новый стороны, среди исследователей, которые входят в команду, выявившую небезупречность, в основном представлены эксперты, специализирующиеся нате криптографических алгоритмах. Дополнение: Разработчики GnuGP успокоили пользователей, аюшки? проблема напрямую не касается GnuPG и Enigmail, а затрагивает методы использования PGP в почтовых клиентах. В добавление появилось пояснение, что проблема касается всего писем, переданных в формате HTML, т.е. с которых могут выполняться обращения к внешним ресурсам. Клеймящий по всему, проблема связана с тем, по какой причине HTML может использоваться как синус для подстановки в письма заранее известных меток (oracle), взять, через манипуляции с тегом "img". Из-следовать недоработок в MIME-парсерах почтовых клиентов реальность в тексте подобных меток приводят к объединению связанных с ними фрагментов с расшифрованными MIME-блоками. Данная своеобычие может применяться для организации атак в основе подобранного шифротекста. В качестве мер защиты разработчики GnuGP предлагают воспользоваться аутентифицированное шифрование, например, рекомендуется проэксплуатировать поддерживаемый в GnuPG с 2002 года механика MDC (Modification Detection Codes) для предотвращения подстановки сторонних данных в содержание. Атака становится невозможной, если в почтовом клиенте корректно используется MDC alias реализован правильный MIME-парсер. Родник: http://www.opennet.ru/opennews/art.shtml?num=48596