Los dos métodos más utilizados de Internet para encriptar el correo electrónico -PGP y S/Mime- son vulnerables hacks que pueden revelar el texto de mensajes encriptados. No hay correcciones fiables y aconsejó a cualquiera que utilice estos sistema de encriptación para comunicaciones sensibles que las elimine inmediatamente de los clientes de correo electrónico. Los bugs "podrían revelar el texto simple de los correos electrónicos encriptados, incluyendo los correos electrónicos encriptados enviados en el pasado".
Comentarios
#5 El fallo no está en el protocolo sino en los pluggins que cifran y descifran y la vulnerabilidad puede explotarse a través de un correo electrónico malintencionado cuando dichos pluggins lo procesan. Aconsejan desactivar o desinstalar los pluggins porque si están activos y te llega el correo, te afectará la vulnerabilidad.
Si quieres puedes seguir usando PGP/GPG de forma manual.
No encuentro sentido a "desinstala"... en todo caso será "utiliza otro protocolo"
Siempre es mejor tener algo, en especial hasta que encuentren la manera de explotar la vulnerabilidad...
#1 Eso mismo estaba yo pensando: la cerradura de tu casa es vulnerable, quítala inmediatamente.
#1 #2 Añaden que “Until the flaws described in the paper are more widely understood and fixed, users should arrange for the use of alternative end-to-end secure channels”
Y en seguridad, una falsa sensación de seguridad es peor que no tener ninguna seguridad.
#4 “Desinstala inmediatamente “ =/= “arrange for the use of alternative”
#5 “immediately disable and/or uninstall tools that automatically decrypt PGP-encrypted email.”
#4 Pues mejor tener algo de seguridad, que nada de nada...
#7 Wiggum?
#10 Es que lo tuve que escribir así, porque parece que no lo entiendes...
#1 se refiere a los plugins de thunderbird, outlook y macos mail para integrar pgp/gpg Both Schinzel and the EFF blog post referred those affected to EFF instructions for disabling plug-ins in Thunderbird, macOS Mail, and Outlook. The instructions say only to "disable PGP integration in e-mail clients."
Puedes seguir usando gpg/pgp "a mano" desde el mismo cliente de correo, lo que no es seguro es usar el plugin.
#13 Tal y como he dicho, mejor esperar porque los de GPG ya han salido a decir que los de la EFF se han pasado tres pueblos.
https://lists.gnupg.org/pipermail/gnupg-users/2018-May/060315.html
Voy a votar errónea porque mientras no se publique en detalle el ataque, son todo especulaciones.
#3 “The research team members have been behind a variety of other important cryptographic attacks, including one from 2016 called Drown, which decrypted communications protected by the transport layer security protocol. Other researchers behind the PGP and S/MIME research include Damian Poddebniak, Christian Dresen, Jens Müller, Fabian Ising, Simon Friedberger, juraj somorovsky, and Jörg Schwenk. Besides Münster University, the researchers also represent Ruhr-University and KU Leuven University.”
#6 #9 Ya lo he leído y todo puede ser perfectamente un fallo en el proceso local de los correos cifrados, no una vulnerabilidad estructural del protocolo. Hay que esperar a que salga mañana el report antes de sacar las antorchas.
#12 Es mejor estar enterado lo antes posible, al menos quien necesita cifrado.
#3 Dicen que lo van a publicar mañana a las 9:00
Errores críticos de PGP y S/MIME pueden revelar correos electrónicos cifrados. Desinstala inmediatamente
Fmdo: NSA
Salu2