GnuPG, Wikimedia Commons
Tillbaka i maj uppmuntrade ett tekniskt dokument som publicerades av EFAIL användare att sluta använda GNU Privacy Guard (GPG) plugins när de ville kryptera e-post. Som med många öppen källkodsprodukter tillverkade av GNU-utvecklare används GPG i stor utsträckning av dem som kör GNU / Linux i en stationär eller bärbar datormiljö och detta gjorde tidningen ganska oroande.
Electronic Frontier Foundation har också väckt oro över flera nya sårbarheter i GPG-programvaran under den senaste månaden, vilket påminde många Linux-säkerhetsexperter om de åsikter som uttrycktes i tidningen. Några GNU / Linux-specialister gick så långt att de helt enkelt föreslog att krypterad e-post aldrig kan betraktas som säker.
Lyckligtvis släppte öppen källkodsexperter ytterligare rekommendationer nyligen som kan vara bättre för dem som har litat på GPG-verktyg för att skicka krypterad e-post till andra GNU / Linux-användare. Experter hade redan på torsdagen sagt att alla e-postklienter som gör HTML, laddar bilder automatiskt eller accepterar fjärrmedia utan tillstånd är det som faktiskt orsakar dessa sårbarheter. Problemet är dock att det verkar som att många inte har utnyttjat dem.
Enigmail, ett populärt GPG-plugin som är utformat för att fungera med Thunderbird, fick en uppdatering strax efter att EFAIL-rapporten släpptes för allmänheten. Från och med idag den 9 juni har många användare som kör Thunderbird på GNU / Linux ännu inte installerat uppdateringen trots att uppdateringen är nästan en månad gammal just nu. Eftersom dessa plugins inte ofta uppdateras när förvarspaket gör det, kan de som använder alla de senaste paketen från början av juni på Debian eller Ubuntu fortfarande riskera om de inte har tagit sig tid att uppdatera plugin manuellt även om de är aktuell med alla andra uppgraderingar.
Den senaste listan över rekommendationer har angett att inaktivera HTML-rendering och bildladdning kommer att besegra de flesta sårbarheterna, som faktiskt inte är direkt relaterade till GPG-paketet i sig. Intressant nog ger Engimails utvecklare också den här rekommendationen, eftersom inaktiverat HTML-stöd i kombination med kryptering ger en mycket säkrare e-postupplevelse.
Intressant är att eftersom krypterad e-post måste riktas specifikt av angripare, skulle en större mängd krypterad e-post som skickas på Internet bidra till att minska risken för att alla riktade attacker skulle fungera.
Taggar Linux-säkerhet
