Новите препоръки за сигурност на GPG помагат за успокояване на опасения от уязвимости

GnuPG, Wikimedia Commons

Още през май, техническа статия, публикувана от EFAIL, насърчава потребителите да спрат да използват плъгините GNU Privacy Guard (GPG), когато искат да шифроват имейл. Както при много продукти с отворен код, направени от разработчици на GNU, GPG се използва широко от онези, които работят с GNU / Linux в среда за настолни компютри или лаптопи и това направи хартията по-скоро притеснителна.

Фондацията Electronic Frontier също изрази загриженост относно няколко нови уязвимости в софтуера GPG през последния месец или нещо подобно, което напомни на много експерти по сигурността на Linux за тези мнения, изразени в статията. Няколко специалисти от GNU / Linux стигнаха дотам, че просто предположиха, че шифрованият имейл никога не може да се счита за наистина безопасен.

За щастие, експерти с отворен код наскоро публикуваха допълнителни препоръки, които може да седят по-добре с онези, които са разчитали на GPG инструменти за изпращане на криптиран имейл до други потребители на GNU / Linux. Експертите бяха заявили още в четвъртък, че всеки пощенски клиент, който изобразява HTML, зарежда изображения автоматично или приема отдалечен носител без разрешение, всъщност причинява тези уязвимости. Проблемът обаче е, че изглежда мнозина не са се възползвали от тях.

Enigmail, популярен GPG плъгин, предназначен да работи с Thunderbird, получи актуализация малко след като докладът EFAIL беше пуснат публично. Към днешна дата, 9 юни, много потребители, които работят с Thunderbird на GNU / Linux, все още не са инсталирали споменатата актуализация, въпреки че актуализацията е на около месец на този етап. Тъй като тези приставки не се актуализират често, когато пакетите за хранилища правят, тези, които използват всички най-нови пакети от началото на юни на Debian или Ubuntu, все още могат да бъдат изложени на риск, ако не са отделили време да актуализират ръчно приставката, дори ако сте актуални с всички други подобрения.

Последният списък с препоръки гласи, че деактивирането на HTML изобразяването и зареждането на изображения ще унищожи повечето уязвимости, които всъщност не са пряко свързани със самия пакет GPG. Интересното е, че разработчиците на Engimail вече правят и тази препоръка, тъй като деактивираната поддръжка на HTML, съчетана с криптиране, осигурява много по-сигурна работа с имейли.

Интересното е, че тъй като криптираният имейл трябва да бъде специално насочен от нападателите, по-голям обем криптиран имейл, изпратен в Интернет, би помогнал да се намали рискът всякакви насочени атаки да работят.