GnuPG, Wikimedia Commons
Toukokuussa EFAIL: n julkaisema tekninen julkaisu kannusti käyttäjiä lopettamaan GNU Privacy Guard (GPG) -laajennusten käytön, kun he halusivat salata sähköpostin. Kuten monet avoimen lähdekoodin tuotteet, joita GNU-kehittäjät ovat valmistaneet, GPG: tä käyttävät laajalti ne, jotka käyttävät GNU / Linuxia työpöydällä tai kannettavassa ympäristössä, ja tämä teki paperista huolestuttavan.
Electronic Frontier Foundation on myös ilmaissut huolensa useista uusista GPG-ohjelmistojen haavoittuvuuksista viimeisen kuukauden aikana, mikä oli muistuttanut monia Linux-tietoturva-asiantuntijoita näistä asiakirjassa esitetyistä näkemyksistä. Muutama GNU / Linux-asiantuntija meni niin pitkälle, että yksinkertaisesti ehdotti, että salattua sähköpostia ei koskaan voida pitää turvallisena.
Onneksi avoimen lähdekoodin asiantuntijat julkaisivat äskettäin uusia suosituksia, jotka saattavat istua paremmin niiden kanssa, jotka ovat luottaneet GPG-työkaluihin lähettämään salattua sähköpostia muille GNU / Linux-käyttäjille. Asiantuntijat olivat jo torstaina todenneet, että kaikki haavoittuvuudet aiheuttavat kaikki sähköpostiohjelmat, jotka hahmonnavat HTML-koodia, lataavat kuvia automaattisesti tai hyväksyvät etämediat ilman lupaa. Ongelmana on kuitenkin se, että näyttää siltä, että monet eivät ole hyödyntäneet niitä.
Enigmail, suosittu GPG-laajennus, joka on suunniteltu toimimaan Thunderbirdin kanssa, sai päivityksen pian EFAIL-raportin julkaisemisen jälkeen. Tänään 9. kesäkuuta monet käyttäjät, jotka käyttävät Thunderbirdiä GNU / Linuxilla, eivät ole vielä asentaneet mainittua päivitystä huolimatta siitä, että päivitys oli tässä vaiheessa lähes kuukauden vanha. Koska nämä laajennukset eivät usein päivity, kun arkistopaketit päivittyvät, ne, jotka käyttävät kaikkia uusimpia paketteja kesäkuun alusta Debianissa tai Ubuntussa, saattavat silti olla vaarassa, elleivät he ole käyttäneet aikaa päivittää laajennusta manuaalisesti, vaikka he ovat ajan tasalla kaikista muista päivityksistä.
Viimeisimmässä luettelossa suosituksista on todettu, että HTML-hahmonnuksen ja kuvien lataamisen poistaminen käytöstä poistaa useimmat haavoittuvuudet, jotka eivät itse asiassa liity suoraan itse GPG-pakettiin. Mielenkiintoista on, että Engimailin kehittäjät tekevät nyt myös tämän suosituksen, koska poistettu HTML-tuki yhdessä salauksen kanssa tarjoaa paljon turvallisemman sähköpostikokemuksen.
Mielenkiintoista on, että koska hyökkääjien on kohdennettava salattu sähköposti, erityisesti Internetissä lähetettyjen salattujen sähköpostiviestien suurempi määrä auttaisi vähentämään kohdistettujen hyökkäysten toimintaa.
Tunnisteet Linux-tietoturva
