Серьезная «дыра» в PGP: email-ы шифровать бесполезно?

16 Мая 11:40
Владимир Смирнов
Найдена серьезная уязвимость в инструментах шифрования электронной почты PGP и S/MIME. Она допускает расшифровку содержания электронных писем третьими лицами. Как утверждают эксперты, исправить эту проблему сейчас нет возможности.

В стандартах шифрования электронной почты PGP и S/MIME найдена уязвимость, позволяющая потенциальным злоумышленникам расшифровывать содержимое электронных писем, в том числе, из истории переписки.

Эксперты по безопасности, которые ее нашли, планируют  опубликовать все необходимые подробности, пока же рекомендуют прекратить использование и PGP, и S/MIME. Напомним: PGP (англ. Pretty Good Privacy) — это решение и библиотека функций, позволяющая шифровать цифровые подписи сообщений, файлов и другую информацию, представленную в электронном виде. S/MIME (Secure/Multipurpose Internet Mail Extensions) — общераспространенный стандарт для шифрования и подписи в электронной почте с помощью открытого ключа.

По мнению экспертов работающих способов нейтрализовать проблему пока нет.

Впервые сведения об уязвимости появились в твиттере эксперта по безопасности, Себастиана Шинцеля, профессора Университета Мюнстера. Сразу после этого пошли разнообразные комментарии. К примеру, разработчики GnuPG, «открытой» альтернативы PGP, заявили, что острота проблемы «преувеличена», и что по сути речь идет не об уязвимости протоколов как таковых, а о слабых местах почтовых клиентов и парсеров, которые не производят адекватной проверки ошибок при дешифровании и «переходят по ссылкам в письмах в формате HTML».

Одной из рекомендаций является то, что электронные письма сейчас следует отправлять только в формате plaintext, без HTML, и что до выяснения всех обстоятельств лучше прекратить использовать PGP и, по возможности, S/MIME.

Комментарии: