Ang Mga Bagong Rekomendasyon sa GPG Security ay makakatulong upang mapalakas ang mga Alalahanin ng mga Kakulangan

GnuPG, Wikimedia Commons

Bumalik noong Mayo, isang teknikal na papel na inilathala ng EFAIL ang naghimok sa mga gumagamit na ihinto ang paggamit ng mga plugin ng GNU Privacy Guard (GPG) kapag nais nilang mag-encrypt ng email. Tulad ng maraming mga produktong open-source na ginawa ng mga developer ng GNU, ang GPG ay malawakang ginagamit ng mga nagpapatakbo ng GNU / Linux sa isang desktop o laptop na kapaligiran at ginawa nito ang papel hinggil sa.

Ang Electronic Frontier Foundation ay nagtaguyod din ng mga alalahanin tungkol sa maraming mga bagong kahinaan sa GPG software noong nakaraang buwan o higit pa, na nagpapaalala sa maraming eksperto sa seguridad ng Linux sa mga pananaw na ipinahayag sa papel. Ang ilang mga dalubhasa sa GNU / Linux ay nagpunta hanggang sa simpleng imungkahi na ang naka-encrypt na email ay hindi maaaring maituring na ligtas.

Sa kasamaang palad, ang mga eksperto sa open-source ay naglabas ng karagdagang mga rekomendasyon kamakailan na maaaring mas mahusay na umupo kasama ang mga umaasa sa mga tool ng GPG upang magpadala ng naka-encrypt na email sa ibang mga gumagamit ng GNU / Linux. Sinabi ng mga eksperto na maaga pa noong Huwebes na ang anumang mail client na nag-render ng HTML, awtomatikong naglo-load ng mga imahe o tumatanggap ng remote media nang walang pahintulot ang tunay na sanhi ng mga kahinaan na ito. Gayunpaman, ang problema ay tila maraming hindi sinamantala ang mga ito.

Ang Enigmail, isang tanyag na GPG plugin na idinisenyo upang gumana sa Thunderbird, ay nakatanggap ng isang pag-update ilang sandali lamang matapos ang ulat ng EFAIL ay inilabas sa publiko. Hanggang ngayon Hunyo 9, maraming mga gumagamit na nagpapatakbo ng Thunderbird sa GNU / Linux ay hindi pa mai-install ang nasabing pag-update sa kabila ng pag-update na halos isang buwan ang edad sa puntong ito. Dahil ang mga plugin na ito ay hindi madalas na nag-update kapag nag-iimbak ang mga package, ang mga gumagamit ng lahat ng pinakabagong mga pakete mula sa unang bahagi ng Hunyo sa Debian o Ubuntu ay maaaring mapanganib pa rin kung hindi sila tumagal ng oras upang manu-manong i-update ang plugin kahit na Kasalukuyan sa lahat ng iba pang mga pag-upgrade.

Ang pinakahuling listahan ng mga rekomendasyon ay nagsabi na ang hindi pagpapagana ng pag-render ng HTML at paglo-load ng imahe ay talunin ang karamihan sa mga kahinaan, na hindi talaga direktang nauugnay sa GPG na package mismo. Nakakatuwa, ang mga tagabuo ng Engimail ay gumagawa din ng rekomendasyong ito pati na rin dahil ang hindi paganahin ang suporta sa HTML kasama ang pag-encrypt ay gumagawa para sa isang mas ligtas na karanasan sa email.

Kapansin-pansin, dahil ang naka-encrypt na email ay dapat na partikular na na-target ng mga magsasalakay, ang isang mas malaking dami ng naka-encrypt na email na ipinadala sa Internet ay makakatulong na mabawasan ang peligro na gagana ang anumang naka-target na pag-atake.