Там'ы много говорим об EFAIL:
атаки EFAIL, использующих уязвимости в OpenPGP и стандартам S/MIME, чтобы раскрыть текст зашифрованных писем. В двух словах, нарушений EFAIL активного содержимого HTML-письма, например, внешне загруженные изображения или стили, вытаскивать открытым текстом через запрошенных URL-адресов.
Так что я как конечный пользователь, в ответ на это? Я должен немедленно прекратить посылать и/или получать зашифрованные сообщения? Или, возможно, все письма? Или прекратите использовать PGP для что-нибыдь на всех? Есть некоторые быстрые исправления? Патчи установить? И если да, патчи на что? Другие действия предпринять?
Обратите внимание, что это вопрос о том, что делать, как конечный пользователь. Это's не о внутренних механизмах уязвимость или как исправить проблему на уровне протокола.
В частности, PGP-это не проблема. Проблема заключается в обработке почты, приложения в вашем браузере, которым вы разрешили использовать ваши ключи PGP. Эти приложения браузер расшифровать сообщение, так как они должны, но внутри этого сообщения в дополнение к Ваш секрет Удалить URL-адрес, который является сайтом злоумышленников. Ваш браузер тупо пытался подключиться к URL-адрес, который имеет ваш секрет дописываются в конец.
Для большинства людей самый практичный способ-это (из вашей ссылки):
В краткосрочной перспективе: отключить отображение HTML. В EFAIL атаки активное злоупотребление содержание, в основном в виде HTML картинки, стили и т. д. Отключение представление входящих HTML-письма в ваш почтовый клиент будет закрыть наиболее известный способ нападения EFAIL. Обратите внимание, что есть и другие можно backchannels в почтовых клиентах, которые не связанные с HTML но это более сложно для использования.
Тогда любой URL-адрес в дешифрованном сообщении будет отображаться как текст, в том числе Троянской URL-адрес. Почти наверняка вы могли бы посмотрите на URL и знаю, что что-то случилось. Если ничего не произошло, и если ваша почтовая программа имеет кнопку, чтобы позволить вам переключаться просмотреть HTML-код, что один адрес, потом вы сможете спокойно читать почту.
Другой способ предложил:
В короткий срок: никакой расшифровки в почтовом клиенте. Лучший способ предотвратить атак EFAIL является только расшифровки S/MIME или PGP сообщения в отдельном применение за пределами вашего почтового клиента. Начните с удаления ваших и S/MIME и закрытые ключи PGP из вашего почтового клиента, затем расшифровать входящие зашифрованные сообщения, копировать и усилитель; вставить криптотекст в отдельное приложение, которое делает расшифровку для вас. Таким образом, почтовые клиенты не могут открыть каналы эксфильтрации. Это в настоящее время безопасный вариант с недостатком, что процесс получает более активное участие.
может быть сложнее. По мобильному телефону он может быть очень и очень трудно. На ноутбуке или настольном компьютере, это зависит от того, как легко установить приложения без браузера, или кто-то сделает это за вас. В неудобный раз провел вырезания и вставки зависит от того, сколько зашифрованного сообщения необходимо обработать.
Вы также хотите быть осторожны, что приложения без браузера не'т автоматически пытаться связаться URL-адрес.
Правка: добавление цитаты в сообщении выиграл'т защитить ваш отправил шифрованные письма. Спасибо @Андерс за то, что указали ссылку.
Отключить отображение HTML. (Не HTML sending: HTML-код rendering. Это не'т имеет значения, какой почтой вам отправить; важно то, что ваш почтовик на получения искусителя'ы mail_.)
Попробуйте настроить вашу почтовую программу, чтобы отключить автоматическое PGP ключ скачать, з/проверки МИМ ОМТП, с/МИМ скачать список отзыва сертификатов, с/МИМ промежуточных ЦС скачать; рекомендуется периодически обновлять вашу брелоки и хранит сертификат вместо. Там'ы компромисс здесь: вы можете выстрелить себе в ногу, не замечать отозванных сертификатов, и вы можете deanonymize себя с пакетами связанные загрузки, но ваш почтовик's автоматический ключ скачать или OCSP или CRL проверки Downloader может выстрелить тебе в ногу.
Рекомендуется отключить автоматическую расшифровку в свой почтовик. Там'ы компромисс здесь: вы можете выстрелить себе в ногу поднятие проходного барьера в коммуникации настолько велика, что вы Don'т хотите, чтобы сделать его больше, но ваша почтовая программа'с автоматической расшифровки может выстрелить вам в ногу.
Следовать thegrugq'руководство к тому, как использовать PGP Если необходимо использовать PGP для защиты от серьезной угрозы модели, и вы'вновь готовы использовать параметр командной строки Гоб
инструмент со всеми психических издержек, что подразумевает. (Читать OpenSSL на man-страницах, если вы должны использовать S/MIME, но Дон'т ожидать запуск командной строки, чтобы стоять на рассмотрение...)
Если вы знаете, любой, связанный с OpenPGP или развития с/МИМ, поддерживать их усилия, чтобы сделать их использование современной криптографии инженерно-сформулировать значимые цели безопасности в реальном мире приложений, таких как почтовые программы и проверку пакета, а не только командной строки GPG
инструмент. (Дон'т крик о хакер потому что человечество уже превысило ее ны горячей квоты воздуха.)
Использование Сигнала.
Подробнее подробности на крипто.ЮВ.
Есть другое решение кроме отключения рендеринга HTML - которое вы тем не менее должны.
Это список пострадавших клиентов и webmailers<суп>1</суп>:
Нападение efail в ее нынешнем виде опирается в первую очередь на уязвимость клиента. Если вы используете один из пострадавших клиентов, вы могли бы хотеть думать о переходе к другому на данный момент, хотя это может не быть решением в долгосрочной перспективе. Также держать ваш клиент и ваш S/MIME и/или PGP обновил плагин. Якобы встроенный 2.0 уже смягчает Efail.<суп>1</SUP и ГТ;
<суп>{1} https://efail.de/efail-attack-paper.pdf</SUP и ГТ; <суп>{2} https://www.heise.de/newsticker/meldung/Efail-Was-Sie-jetzt-beachten-muessen-um-sicher-E-Mails-zu-verschicken-4048988.html
Нынешний совет, чтобы избежать автоматической расшифровки электронной почты в вашем почтовом клиенте. В большинстве случаев это означает удаление соответствующих плагинов. Затем вам нужно скопировать зашифрованный текст в отдельное приложение, чтобы просмотреть его.
Вы все равно должны иметь возможность отправлять зашифрованные сообщения, при условии, что приемник принимает соответствующие меры предосторожности, хотя, что, вероятно, означает использование проблемных плагинов.
Согласно Мартину Vetger'ы комментарий, отключение автоматического рендеринга HTML также можно в значительной степени смягчить атаку, хотя исследователи также сказал, что есть и другие каналы, которые могли бы быть использованы с больше работы.
Что это означает для вас, как конечного пользователя будет значительно отличаться друг от друга.
Для того, чтобы выгоду от этого использования уязвимости злоумышленник должен иметь возможность изменять сообщение в транзите, или отправить письмо по электронной почте, которые они ранее захватили. Очевидно, нескольких государств или ваш работодатель может сделать это, но я подозреваю, что вы вряд ли найдете много преступников бежать подозрительным, Wi-Fi роутер, надеясь захватить конфиденциальную информацию из своего сообщения с помощью PGP.
Если вы просто конфиденциальность единомышленников вы могли бы, вероятно, просто продолжать. Письмо будет зашифровано на почтовом сервере, и ЦПС/АНБ и т. д. Может быть в состоянии захватить это, но правоохранительные органы могут'т использовать его против вас.
Вы могли бы посмотреть, чтобы ограничить правила брандмауэра на вашем компьютере, так что почтовый клиент может общаться только на 1 или 2 порта. Что бы полностью блокировать HTML в вектор и потенциально отрезать много других возможностей для отступления.
Если на кону жизни тут же побросав лучше...
Есть два краткосрочных исправлений выбирать между:
На страницу EFAIL ссылается на возможные способы кражи данных без HTML, так что просто делаю #1 не может быть полностью безопасным. Поэтому, возможно, эфф рекомендует #2 как well. Так что пока #2 является менее удобным, это, вероятно, более безопасно.
Поскольку уязвимость заключается в том, как клиенты электронной почты взаимодействовать с PGP, вы хотите обновить свой клиент электронной почты и любые плагины к нему. Когда проблема будет исправлена в почтовом клиенте, можно остановить с помощью краткосрочных мер. Как #1 и #2 являются разумные меры безопасности даже в отсутствие EFAIL, хотя, так что если вы получили в привычку, используя их, вы могли бы также продолжать.
OpenPGP или любой из его'реализаций ы не'т изначально сломан, так что пока вы должны всегда держать ваше программное обеспечение в актуальном состоянии и нет необходимости их обновления конкретно из-за этого. Вы не будете иметь, чтобы остановить их использования.
Поскольку и отправитель, и все приемники могут расшифровывать электронную почту, атака EFAIL могут быть направлены на любой из этих](https://efail.de/#i-have). Так что даже если вы принимаете меры предосторожности, изложенные выше сообщения можно отправлять и получать по-прежнему может быть расшифрован, если люди, которых вы общаться с менее разумным.
В настоящее время, вы можете хотеть принять это во внимание перед использованием этих инструментов.