EFAIL – vulnerabilități în tehnologiile de criptare


EFAIL descrie vulnerabilitățile în tehnologiile de criptare end-to-end OpenPGP și S/MIME care expun textul e-mailurilor criptate.

E-mailul este un mediu de comunicare text, ale cărui canale sunt parțial protejate de protocolul TLS. Pentru persoanele situate în medii ostile (jurnaliști, activiști politici, informatori, etc.) care depind de confidențialitatea comunicării digitale, această criptare a canalului nu este suficientă.

Pentru a rezolva această problemă, OpenPGP oferă criptarea end-to-end a mesajelor text. S/MIME este un standard alternativ pentru criptarea end-to-end a e-mail-ului, care este folosit în mod uzual în mediul corporatist.

Atacurile EFAIL exploatează vulnerabilități din standardele OpenPGP și S/MIME pentru a dezvălui textul e-mailurilor criptate. Pe scurt, EFAIL utilizează conținutul activ al e-mailurilor HTML (de exemplu, imaginile sau stilurile încărcate din Internet), pentru a exfiltra textul mesajelor prin adresele URL solicitate.

Sursa articolului: https://cert.ro/citeste/alerta-pgp-efail

Site găzduit de RedHost.ro