В программах шифрования PGP и S/MIME найдены дыры!

В программах шифрования PGP и S/MIME найдены дыры!

Сотни лет при пересылке секретных писем люди использовали различные шифры, которые превращали тексты в бессмысленную галиматью для посторонних, перехвативших зашифрованную корреспонденцию. И только получатель засекреченного сообщения мог его прочитать, пользуясь известным ему ключом шифрования, примененным отправителем.
В наше время конфиденциальная информация перед ее отправкой по электронной почте преобразуется с помощью программ-шифровальщиков, эффективность которых в защите текстов от чтения их конкурентами, спецслужбами, черными хакерами и просто любопытствующими доказана в течение нескольких десятилетий.


Одну из таких широко распространенных программ - PGP (Pretty Good Privacy) - начали использовать в далеком 1991 году и до сих пор никто не высказывал претензии к надежности шифрования ею информации, пересылаемой по e-mail. Но вот недавно исследователи ИТ-защиты в различных видах ПО, работающие в университетах Германии и Бельгии, нашли в PGP (а «попутно» и в другом популярном шифровальщике - программе S/MIME - Secure/Multipurpose Internet Mail Extensions) уязвимости, использование которых открывает ИТ-злоумышленникам возможности для взлома зашифрованной электронной почты. Скорее всего, эти уязвимости еще не найдены черными хакерами, но поскольку стало известно, что эти «дыры» есть, обнаружение их опытными профессиональными киберпреступниками неизбежно (вопрос только в том, сколько времени они затратят на поиск).



А поскольку способ устранения уязвимостей, найденных группой немецких и бельгийских ученых, еще не разработан, они призывают всех пользователей PGP и S/MIME временно отказаться от применения этих программ-шифровальщиков, несмотря на то, что для использования уязвимостей ИТ-злоумышленнику нужно проникнуть в почтовый сервер или почтовый ящик получателя и при этом письма должны быть в формате HTML и иметь активные ссылки на внешнее содержимое. То есть, если существует надежная защиты от взлома почтового сервера и почтового ящика получателя, то, в принципе, оснований для беспокойства нет.

В таком же успокоительном тоне прозвучало мнение Федерального агентства по информационной безопасности Германии (Bundesamt fuer Sicherheit in der Informationstechnik - BSI). По заверению BSI, собственно программы шифрования PGP и S/MIME обеспечивают ИТ-безопасность, однако необходима их правильная настройка. Но все же для полной уверенности в исключении возможностей взлома электронной почты BSI рекомендует пользователям почтовых клиентов запретить активное содержимое сообщений (в том числе, HTML), а также загрузку внешнего содержимого.

Вместо формата HTML некоторые эксперты по ИБ предлагают отправлять сообщения в формате plaintext, но все же лучшим решением в сложившейся ситуации является полный отказ от использования PGP и S/MIME. Такая же рекомендация поступила от американского Фонда электронного фронтира (Electronic Frontier Foundation - EFF), деятельность которого направлена на усиление защиты гражданских свобод в Интернете.

См. также:

Комментарии