GnuPG, Wikimedia Commons
V máji technický dokument publikovaný agentúrou EFAIL vyzval používateľov, aby prestali používať doplnky GNU Privacy Guard (GPG), keď chcú šifrovať e-mail. Rovnako ako u mnohých produktov s otvoreným zdrojovým kódom od vývojárov GNU, GPG je široko používaný tými, ktorí používajú GNU / Linux v prostredí pre stolné počítače alebo notebooky, a preto sa tento príspevok skôr týkal.
Nadácia Electronic Frontier Foundation tiež vyvolala obavy z niekoľkých nových zraniteľností softvéru GPG za posledný zhruba posledný mesiac, čo mnohým bezpečnostným expertom na Linux pripomenulo tieto názory vyjadrené v príspevku. Niekoľko špecialistov na GNU / Linux zašlo tak ďaleko, že jednoducho naznačili, že šifrovaný e-mail nikdy nemožno skutočne považovať za bezpečný.
Našťastie odborníci na otvorený zdroj nedávno zverejnili ďalšie odporúčania, ktoré by mohli lepšie sedieť tým, ktorí sa spoliehali na nástroje GPG na zasielanie šifrovaných e-mailov iným používateľom GNU / Linux. Odborníci už vo štvrtok vyhlásili, že tieto chyby zabezpečenia skutočne spôsobuje každý poštový klient, ktorý vykresľuje HTML, načítava obrázky automaticky alebo prijíma vzdialené médiá bez povolenia. Problém však je, že sa zdá, že ich mnohí nevyužili.
Enigmail, populárny doplnok GPG navrhnutý pre prácu s Thunderbirdom, dostal aktualizáciu krátko po zverejnení správy EFAIL pre verejnosť. K dnešnému dňu 9. júna veľa používateľov, ktorí používajú Thunderbird na GNU / Linux, túto aktualizáciu ešte nenainštalovali, a to napriek tomu, že aktualizácia je v tomto okamihu takmer mesiac stará. Pretože sa tieto doplnky často neaktualizujú, keď sa to deje v balíkoch úložiska, tí, ktorí používajú všetky najnovšie balíčky od začiatku júna v Debiane alebo Ubuntu, môžu byť stále ohrození, ak si nenašli čas na manuálnu aktualizáciu doplnku, aj keď Aktuálne sú všetky ostatné vylepšenia.
Najnovší zoznam odporúčaní uviedol, že deaktivácia vykresľovania HTML a načítania obrázkov porazí väčšinu zraniteľností, ktoré v skutočnosti priamo nesúvisia so samotným balíkom GPG. Je zaujímavé, že vývojári spoločnosti Engimail teraz odporúčajú aj toto, pretože deaktivovaná podpora HTML spojená so šifrovaním umožňuje oveľa bezpečnejšie používanie e-mailov.
Je zaujímavé, že keďže útočníci musia byť konkrétne zameraní na šifrovaný e-mail, väčšie množstvo šifrovaného e-mailu odosielaného na internet by pomohlo znížiť riziko, že všetky cielené útoky budú fungovať.
Značky Zabezpečenie systému Linux
