Index Vakbarát Hírportál

Bajban vannak a titkosítva levelezők

2018. május 14., hétfő 13:19 | aznap frissítve

Bárki, aki PGP vagy S/MIME titkosítással szokott emailt küldeni és fogadni, jobban teszi, ha felfüggeszti ezt a fajta kommunikációt, máskülönben illetéktelenek is hozzáférhetnek a levelezéséhez, még a korábbi üzenetekhez is. Ezt a meglehetősen aggasztó hírt egy német biztonsági szakértő közölte vasárnap:

A gond nem magával a titkosítással van (a titkosszolgálatok legnagyobb bánatára), hanem azokkal a segédprogramokkal (pluginokkal), amiket a levelezőszoftverhez telepítve használnak a PGP- és S/MIME-felhasználók. A pluginokkal kapcsolatos súlyos sérülékenységet kihasználva rosszindulatú hekkerek gyakorlatilag hozzáférhetnek a levelezés egyszerű szöveges, titkosítatlan szövegeihez.

A PGP-titkosítást használó webes levelezőrendszerek (mint pl. a Protonmail) ugyanakkor úgy tűnik, hogy nem érintettek. A svájci cég Twitterén azt írta, hogy a sebezhetőség a különféle PGP-kliensekben található implementációs hibákból ered, maga a PGP tökéletesen működik. A Protonmail egy tanulmányt is linkelt az üggyel kapcsolatban, ezt itt [pdf] lehet elolvasni, emellett pedig arra hívták fel a figyelmet, hogy felelőtlenség arra biztatni az embereket, hogy hagyjanak fel a titkosítás használatával.

A titkosítási sérülékenységről hamarosan részletes jelentést adnak ki, addig is azt javasolja Sebastian Schinzel, a münsteri műszaki egyetem IT-biztonsági laborjának vezetője, hogy aki plugin segítségével használta ezt a kétféle titkosítást, azonnal kapcsolja ki a plugint és lehetőség szerint törölje is a számítógépéről. Ehhez segítséget is nyújtanak:

Amíg nem lesz teljesen világos, hogy miben áll a most felfedezett sérülékenység lényege és miképp lehet védekezni ellene, a titkosított levelezés átmeneti teljes felfüggesztését és a kriptokommunikáció más csatornáit (pl. titkosított csevegőappok, stb) javasolják a szakértők.

Nyitókép: Michael Rogers, az NSA (National Security Agency) igazgatója a levelezését csekkolja a 2015-ös Cybersecurity Technology Summit alkalmával tartott előadásán (Chip Somodevilla/Getty Images)

Rovatok