GnuPG, Wikimedia Commons
Tilbake i mai oppfordret et teknisk dokument publisert av EFAIL brukere til å slutte å bruke GNU Privacy Guard (GPG) plugins når de ønsket å kryptere e-post. Som med mange open source-produkter laget av GNU-utviklere, brukes GPG mye av de som kjører GNU / Linux i et stasjonært eller bærbart miljø, og dette gjorde papiret ganske bekymringsfullt.
Electronic Frontier Foundation har også reist bekymring for flere nye sårbarheter i GPG-programvare i løpet av den siste måneden, noe som hadde minnet mange Linux-sikkerhetseksperter om de synspunktene som ble uttrykt i papiret. Noen få GNU / Linux-spesialister gikk så langt at de bare antydet at kryptert e-post aldri kan betraktes som trygg.
Heldigvis ga open source-eksperter nylig ytterligere anbefalinger som kanskje passer bedre sammen med de som har stolt på GPG-verktøy for å sende kryptert e-post til andre GNU / Linux-brukere. Eksperter hadde allerede på torsdag uttalt at enhver e-postklient som gjengir HTML, laster bilder automatisk eller godtar eksterne medier uten tillatelse, er det som faktisk forårsaker disse sårbarhetene. Problemet er imidlertid at det ser ut til at mange ikke har utnyttet dem.
Enigmail, et populært GPG-plugin designet for å fungere med Thunderbird, mottok en oppdatering kort tid etter at EFAIL-rapporten ble utgitt for publikum. Fra og med i dag 9. juni har mange brukere som kjører Thunderbird på GNU / Linux ennå ikke installert oppdateringen til tross for at oppdateringen er nesten en måned gammel på dette tidspunktet. Siden disse programtilleggene ikke ofte oppdateres når depotpakker gjør det, kan de som bruker alle de nyeste pakkene fra begynnelsen av juni på Debian eller Ubuntu, fortsatt være i fare hvis de ikke har tatt seg tid til å oppdatere programtillegget manuelt, selv om de er oppdatert med alle andre oppgraderinger.
Den siste listen over anbefalinger har uttalt at deaktivering av HTML-gjengivelse og bildeinnlasting vil beseire de fleste sårbarhetene, som faktisk ikke er direkte relatert til selve GPG-pakken. Interessant nok gir Engimails utviklere nå denne anbefalingen også, siden deaktivert HTML-støtte kombinert med kryptering gir en mye mer sikker e-postopplevelse.
Interessant, siden kryptert e-post må målrettes spesifikt av angripere, vil et større volum kryptert e-post sendt på Internett bidra til å redusere risikoen for at målrettede angrep vil fungere.
Merker Linux-sikkerhet
