GnuPG, Wikimedia Commons
Tilbage i maj tilskyndede et teknisk papir, der blev offentliggjort af EFAIL, brugerne til at ophøre med at bruge GNU Privacy Guard (GPG) plugins, når de ønskede at kryptere e-mail. Som med mange open source-produkter, der er fremstillet af GNU-udviklere, bruges GPG i vid udstrækning af dem, der kører GNU / Linux i et stationært eller bærbart miljø, og dette gjorde papiret ret bekymrende.
Electronic Frontier Foundation har også rejst bekymring over flere nye sårbarheder i GPG-software i løbet af den sidste måned eller deromkring, hvilket havde mindet mange Linux-sikkerhedseksperter om de synspunkter, der blev udtrykt i papiret. Et par GNU / Linux-specialister gik så langt som simpelthen at antyde, at krypteret e-mail aldrig virkelig kan betragtes som sikker.
Heldigvis frigav open source-eksperter for nylig yderligere anbefalinger, der måske passer bedre sammen med dem, der har påberåbt sig GPG-værktøjer til at sende krypteret e-mail til andre GNU / Linux-brugere. Eksperter havde allerede på torsdag erklæret, at enhver mailklient, der gengiver HTML, automatisk indlæser billeder eller accepterer fjernmedier uden tilladelse, er det, der faktisk forårsager disse sårbarheder. Problemet er dog, at det ser ud til, at mange ikke har udnyttet dem.
Enigmail, et populært GPG-plugin designet til at arbejde med Thunderbird, modtog en opdatering kort efter, at EFAIL-rapporten blev frigivet til offentligheden. Fra og med i dag 9. juni har mange brugere, der kører Thunderbird på GNU / Linux, endnu ikke installeret opdateringen på trods af at opdateringen er næsten en måned gammel på dette tidspunkt. Da disse plugins ikke ofte opdateres, når lagerpakker gør det, kan de, der bruger alle de nyeste pakker fra begyndelsen af juni på Debian eller Ubuntu, stadig være i fare, hvis de ikke har taget sig tid til manuelt at opdatere pluginet, selvom de er opdateret med alle andre opgraderinger.
Den seneste liste med anbefalinger har angivet, at deaktivering af HTML-gengivelse og billedindlæsning vil besejre de fleste sårbarheder, som faktisk ikke er direkte relateret til selve GPG-pakken. Interessant nok giver Engimails udviklere nu også denne anbefaling, da deaktiveret HTML-support kombineret med kryptering giver en meget mere sikker e-mail-oplevelse.
Interessant nok, da krypteret e-mail skal målrettes specifikt af angribere, vil en større mængde krypteret e-mail sendt på Internettet hjælpe med at reducere risikoen for, at eventuelle målrettede angreb fungerer.
Mærker Linux-sikkerhed
