Badacze bezpieczeństwa wysyłają ostrzeżenie do całego świata w związku z krytyczną wadą narzędzi do szyfrowania poczty OpenPGP i S / MIME. Luka ta nosi nazwę EFAIL i umożliwia atakującym wyodrębnienie treści w postaci zwykłego tekstu ze wszystkich wysłanych / odebranych wiadomości.

Fakt, że ta wada sprawia, że ​​szyfrowanie wiadomości e-mail jest bezużyteczne, jest bardzo niepokojący. Niestety EFF potwierdził, że obecnie nie ma wiarygodnych poprawek ani łatek do rozwiązania problemu.

Dopóki wystarczająca liczba klientów nie zostanie w odpowiedni sposób załatana, wysyłanie wiadomości zaszyfrowanych PGP może stworzyć niekorzystne zachęty ekosystemowe dla innych osób do ich odszyfrowania. Bilansowanie ryzyka związanego z dalszym używaniem może być trudne i zależy od twojej sytuacji i twoich kontaktów.

Użytkownikom zaleca się wyłączenie wtyczek szyfrujących pocztę

Do odwołania, użytkownikom zaleca się wyłączenie wtyczek szyfrujących wiadomości e-mail, aby uniemożliwić napastnikom odzyskanie wcześniej zaszyfrowanych wiadomości e-mail po opublikowaniu artykułu.

Kroki te mają być tymczasową, konserwatywną stopą bezpieczeństwa, dopóki bezpośrednie ryzyko exploita nie minie i nie zostanie złagodzone przez szerszą społeczność.

Więcej informacji na temat wyłączania szyfrowania wiadomości e-mail w programie Outlook można znaleźć w przewodniku EFF.

Obecny stan sytuacji

Niektórzy badacze zaczęli ujawniać więcej szczegółów na temat błędu przed terminem, w wyniku czego strona internetowa efail.de jest już dostępna, a także artykuł badawczy. Oba zawierają szczegółowe informacje na temat błędu EFAIL. Luka została już potwierdzona, że ​​wpływa na wtyczki e-mail obsługujące operacje szyfrowania.