GnuPG, Wikimedia Commons
Kembali pada bulan Mei, makalah teknikal yang diterbitkan oleh EFAIL mendorong pengguna untuk berhenti menggunakan pemalam GNU Privacy Guard (GPG) ketika mereka ingin menyulitkan e-mel. Seperti banyak produk sumber terbuka yang dibuat oleh pembangun GNU, GPG banyak digunakan oleh mereka yang menjalankan GNU / Linux dalam persekitaran desktop atau komputer riba dan ini menjadikan kertas ini agak memprihatinkan.
Electronic Frontier Foundation juga telah menimbulkan kekhawatiran mengenai beberapa kelemahan baru dalam perisian GPG selama sebulan terakhir, yang telah mengingatkan banyak pakar keselamatan Linux mengenai pandangan yang dinyatakan dalam makalah tersebut. Beberapa pakar GNU / Linux hanya menyatakan bahawa e-mel yang disulitkan tidak boleh dianggap selamat.
Nasib baik, pakar sumber terbuka mengeluarkan cadangan lebih lanjut baru-baru ini yang mungkin lebih sesuai dengan mereka yang telah bergantung pada alat GPG untuk menghantar e-mel yang disulitkan kepada pengguna GNU / Linux yang lain. Para pakar telah menyatakan pada awal hari Khamis bahawa mana-mana pelanggan e-mel yang membuat HTML, memuatkan gambar secara automatik atau menerima media jarak jauh tanpa izin adalah apa yang sebenarnya menyebabkan kelemahan ini. Masalahnya, bagaimanapun, adalah nampaknya banyak yang tidak memanfaatkannya.
Enigmail, plugin GPG yang popular yang dirancang untuk bekerja dengan Thunderbird, menerima kemas kini sejurus laporan EFAIL dikeluarkan kepada umum. Sehingga hari ini 9 Jun, banyak pengguna yang menjalankan Thunderbird di GNU / Linux masih belum memasang kemas kini tersebut walaupun kemas kini sudah hampir satu bulan pada ketika ini. Oleh kerana plugin ini tidak sering dikemas kini semasa pakej repositori berlaku, mereka yang menggunakan semua pakej terbaru dari awal Jun di Debian atau Ubuntu mungkin masih berisiko jika mereka tidak meluangkan masa untuk mengemas kini plugin secara manual walaupun mereka terkini dengan semua peningkatan lain.
Senarai cadangan terkini telah menyatakan bahawa menonaktifkan rendering HTML dan pemuatan gambar akan mengalahkan sebahagian besar kelemahan, yang sebenarnya tidak berkaitan langsung dengan pakej GPG itu sendiri. Cukup menarik, pembangun Engimail kini membuat cadangan ini juga kerana sokongan HTML yang dilumpuhkan ditambah dengan penyulitan menjadikan pengalaman e-mel yang lebih selamat.
Menariknya, kerana e-mel yang dienkripsi harus disasarkan secara khusus oleh penyerang, jumlah e-mel yang dienkripsi yang lebih besar yang dikirimkan di Internet akan membantu mengurangkan risiko serangan yang disasarkan akan berfungsi.
Teg Keselamatan Linux
