Създателят на PGP: Не деактивирайте защитата си
Фил Цимерман и експерти по криптозащита твърдят, че PGP не е небезопасен, без значение от неотдавна излезли отчети, сочещи противното.
По-рано този месец, откриватели по сигурността оповестиха, че са разкрили сериозни недостатъци в PGP (Pretty Good Privacy) протокола, които могат да разрешат декриптирането на предпазени с криптографска отбрана известия.
Последва и съвет от страна на експерти, измежду които и тези от Фондация „Електронна граница“ (Electronic Frontier Foundation, EFF), известни с от време на време сензационалистичните си изказвания, че ползващите PGP и S/MIME, би трябвало неотложно да спрат потреблението им. Скоро по-късно обаче се появиха и мненията на други експерти, които показаха убеждението си, че препоръките на EFF не са правилни. Един от първите, които го направи беше основателят на GNU Privacy Guard Вернер Кох. Той показа, че проблемите могат да бъдат избегнати, в случай че получателят на писмата заобикаля четенето им в HTML тип, употребява MIME парсър или се довери на инструмент като OpenPGP.
Наскоро в поддръжка на тезата да не се деактивира PGP се появиха и други експерти – като самият основател на протокола Фил Цимерман, а също по този начин основателите на Protonmail, Malivelope и Enigmail. „Тези изказвания са извънредно подвеждащи и евентуално рискови (препоръките за деактивиране на криптографската защита). PGP не е „счупен“. Проблемите, свързани с eFail не са уязвимости в самия OpenPGP протокол, а в някои имплементации на PGP, измежду които тези на Apple Mail, Mozilla Thunderbird и Microsoft Outlook. Много други постоянно употребявани стратегии, които се базират на PGP са незасегнати от eFail уязвимостта по какъвто и да е метод, както и в действителност бива посочено в истинския доклад“, пишат експертите.
Това, което поучават Цимерман и сътрудниците му е да употребяват импементации на протокола в артикули, които не са наранени от eFail или да обновят PGP софтуера до последната му версия. „Уверете се, че всеки, с който споделяте също употребява незасегната имплементация или е обновил софтуера си. Уверете се също по този начин, че получавате верифицирано удостоверение за това от контактите си преди да изпращате сензитивна информация към тях“.
По-рано този месец, откриватели по сигурността оповестиха, че са разкрили сериозни недостатъци в PGP (Pretty Good Privacy) протокола, които могат да разрешат декриптирането на предпазени с криптографска отбрана известия.
Последва и съвет от страна на експерти, измежду които и тези от Фондация „Електронна граница“ (Electronic Frontier Foundation, EFF), известни с от време на време сензационалистичните си изказвания, че ползващите PGP и S/MIME, би трябвало неотложно да спрат потреблението им. Скоро по-късно обаче се появиха и мненията на други експерти, които показаха убеждението си, че препоръките на EFF не са правилни. Един от първите, които го направи беше основателят на GNU Privacy Guard Вернер Кох. Той показа, че проблемите могат да бъдат избегнати, в случай че получателят на писмата заобикаля четенето им в HTML тип, употребява MIME парсър или се довери на инструмент като OpenPGP.
Наскоро в поддръжка на тезата да не се деактивира PGP се появиха и други експерти – като самият основател на протокола Фил Цимерман, а също по този начин основателите на Protonmail, Malivelope и Enigmail. „Тези изказвания са извънредно подвеждащи и евентуално рискови (препоръките за деактивиране на криптографската защита). PGP не е „счупен“. Проблемите, свързани с eFail не са уязвимости в самия OpenPGP протокол, а в някои имплементации на PGP, измежду които тези на Apple Mail, Mozilla Thunderbird и Microsoft Outlook. Много други постоянно употребявани стратегии, които се базират на PGP са незасегнати от eFail уязвимостта по какъвто и да е метод, както и в действителност бива посочено в истинския доклад“, пишат експертите.
Това, което поучават Цимерман и сътрудниците му е да употребяват импементации на протокола в артикули, които не са наранени от eFail или да обновят PGP софтуера до последната му версия. „Уверете се, че всеки, с който споделяте също употребява незасегната имплементация или е обновил софтуера си. Уверете се също по този начин, че получавате верифицирано удостоверение за това от контактите си преди да изпращате сензитивна информация към тях“.
Източник: kaldata.com
КОМЕНТАРИ