אם השתמשת ב-PGP - קיצור של Pretty Good Privacy - כדי לשלוח ולקבל מיילים מוצפנים, ייתכן שהגיע הזמן לעבור לשירות אחר כדי לשמור על פרטיות התקשורת שלך. פגיעות חדשה לגמרי, הנקראת בצורה מצחיקה EFAIL,יכול לחשוף את תוכן האימיילים שלך(אפילו מיילים ישנים יותר, במקרים מסוימים) בטקסט רגיל. להתראות, סודיות.
אם אתה פשוט משתמש בשירות הדוא"ל המועדף עליך כדי לשלוח הודעות רגילות לחברים,לקרוא ניוזלטרים מדהימים, או להעלות עסקים שאתה כועס עליהם, הנושאים האלה לא משפיעים עליך כלל. אתה תדע אם אתה משתמש ב-PGP, כי כל הנחת היסוד של התוכנית מבוססת עלבאמצעות מפתחות ציבוריים ופרטיים-מחרוזות ענק של טקסט - להצפנה ולפענוח הודעות. הודעות סודיות, באופן אידיאלי, לא רק תמונות מצחיקות של חתולים שאתה רוצה לשלוח לבן הזוג שלך.
יש כרגע ויכוח על עד כמה פגיעות EFAIL בעייתית למעשה, מכיוון שחברות מסוימות ואנשים בעלי חשיבה אבטחה מציינים שאם רק תוודא שאינך מקבל מיילים HTML - עבור לטקסט רגיל, במקום זאת - אתה תהיה בסדר. כמו של GnuPGורנר קוךכותב:
"יש שתי דרכים למתן את ההתקפה הזו
- אל תשתמש בדואר HTML. או אם אתה באמת צריך לקרוא אותם, השתמש במנתח MIME מתאים ואל תאפשר כל גישה לקישורים חיצוניים.
- השתמש בהצפנה מאומתת."
האם הבעיה נעוצה ב-PGP ו-S/MIME, asמציין קרן הגבול האלקטרוני, או לקוחות הדוא"ל עצמם, רמת הנוחות שלך עם תקשורת מוצפנת תקבע את הצעדים הבאים שלך. כְּמוֹefail.deהערות, ישנן מספר טכניקות שתוכל לאמץ כדי להפחית את ההשפעה של EFAIL על התקשורת המאובטחת שלך:
"טווח קצר: אין פענוח בלקוח הדוא"ל. הדרך הטובה ביותר למנוע התקפות EFAIL היא לפענח רק דוא"ל S/MIME או PGP באפליקציה נפרדת מחוץ ללקוח הדוא"ל שלך. התחל בהסרת מפתחות S/MIME ו-PGP הפרטיים שלך מלקוח הדואר האלקטרוני שלך, ואז פענח הודעות דוא"ל מוצפנות נכנסות על ידי העתקה והדבקת טקסט ההצפנה לתוך יישום נפרד שעושה את הפענוח עבורך. כך, לקוחות הדואר האלקטרוני לא יכולים לפתוח ערוצי סינון. זו כרגע האפשרות הבטוחה ביותר עם החיסרון שהתהליך מתערב יותר.
לטווח קצר: השבת את עיבוד HTML. ה-EFAIL תוקפת שימוש לרעה בתוכן פעיל, בעיקר בצורה של תמונות HTML, סגנונות וכו'. השבתת הצגת הודעות ה-HTML הנכנסות בלקוח הדוא"ל שלך תסגור את הדרך הבולטת ביותר לתקוף את EFAIL. שים לב שישנם ערוצים אחוריים אפשריים אחרים בלקוחות דוא"ל שאינם קשורים ל-HTML אך קשה יותר לנצל אותם.
טווח בינוני: תיקון. חלק מהספקים יפרסמו תיקונים שיתקנו את נקודות התורפה של EFAIL או יהפכו אותן להרבה יותר קשות לניצול.
לטווח ארוך: עדכון תקני OpenPGP ו-S/MIME. התקפות EFAIL מנצלות פגמים והתנהגות לא מוגדרת בתקני MIME, S/MIME ו-OpenPGP. לכן צריך לעדכן את התקנים, מה שייקח קצת זמן".
העצה שלנו? אולי הגיע הזמן להפסיק להשתמש בדוא"ל לתקשורת מוצפנת. ה-EFF מציע זאת כפתרון זמני, לכל הפחות:
"העצה שלנו, המשקפת את זו של החוקרים, היא להשבית ו/או להסיר מיידית כלים המפענחים באופן אוטומטי דוא"ל מוצפן PGP. עד שהפגמים המתוארים במאמר יובנו ויתוקנו בצורה רחבה יותר, על המשתמשים לדאוג לשימוש בערוצים מאובטחים חלופיים מקצה לקצה, כמו Signal, ולהפסיק זמנית לשלוח ובעיקר לקרוא דוא"ל מוצפן PGP".
כפי שתיאר Wired במאמר משנת 2017, אפליקציות הכוללות הצפנה מקצה לקצה כמו Signal, WhatsApp, Confide או אפילוסקייפ—למנות כמה-מעולים לשליחת תקשורת מוגנת (בינתיים).
אמנם זה לא אומר שכל אחת מהאפליקציות הללו, או אפילו פרוטוקול האותות שהם משתמשים בהם כדי לאבטח את ההודעות שלך, חסינות בפני ניצולים עתידיים (שלכֹּל זנים), כדאי לשקול אפליקציות הודעות עם הצפנה מקצה לקצה מובנית כחלופה לאימייל עבור ההודעות הפרטיות ביותר שלך. הם לא חסינים בפני תקלות - במיוחד אם למישהו יש מכשיר שנפגע בצד השני - אבל הם טובים יותר מכלום אם אתה יכול לסבול את ההבדלים:
הציוץ הזה אינו זמין כרגע. ייתכן שהוא נטען או הוסר.
