Černý den e-mailu. Šifrované zprávy (PGP a S/MIME) lze číst i bez klíče

Skupina evropských výzkumníků v čele se Sebastianem Schinzelem, profesorem na univerzitě v německém Münsteru, objevila zranitelnosti ve dvou nejpoužívanějších standardech pro end-to-end šifrování e-mailových zpráv. Díry v PGP a S/MIME dovolují útočníkům přečíst znění zpráv i bez znalosti privátního klíče, a to i u všech dříve poslaných e-mailů.

Detaily zatím neznáme, výzkumníci je prozradí až zítra v 9:00 našeho času. Electronic Frontier Foundation o zranitelnostech informoval dopředu a doporučuje, aby lidé přestali tyto kanály používat. Na webu má i návody, jak odstranit doplňky pro PGP v populárních klientech Thunderbird (Enigmail), Apple Mail (GPGTools) a Outlook (Gpg4win). Používat u citlivé komunikace nešifrovaný a špatně šifrovaný e-mail prý vyjde nastejno.

We'll publish critical vulnerabilities in PGP/GPG and S/MIME email encryption on 2018-05-15 07:00 UTC. They might reveal the plaintext of encrypted emails, including encrypted emails sent in the past. #efail 1/4

— Sebastian Schinzel (@seecurity) May 14, 2018

EEF proto doporučuje prozatím používat jiné programy nabízející end-to-end šifrování, jako příklad dává Signal. Shodou okolností zrovna velké problémy trápí i jej. Jak informuje Hacker News, klientské programy Singalu pro Windows a Linux byly rovněž děravé a je možné (avšak nepotvrzené), že se útočníkům mohlo podařit na dálku získávat šifrovací klíče uživatelů.

Aktualizováno (15. 5. 2018) – Popis zranitelností je venku. Víc v článku Šifrování e-mailů: Co znamená aféra Efail pro PGP a S/MIME?