Het advies om PGP-plug-ins vanwege verschillende kwetsbaarheden uit te zetten is ongerechtvaardigd en kan levens in gevaar brengen, zo stelt de versleutelde e-maildienst ProtonMail. Gisteren maakten onderzoekers twee manieren bekend waardoor ze in bepaalde gevallen de inhoud van versleutelde e-mails kunnen achterhalen.
Hiervoor moet een aanvaller over een versleuteld bericht van het slachtoffer beschikken en vervolgens een e-mail met HTML-opmaak naar het slachtoffer sturen. Als het slachtoffer geen HTML in zijn e-mailclient uitvoert werken de nu gedemonstreerde aanvallen niet. Naar aanleiding van de ontdekking adviseerde de Amerikaanse burgerrechtenbeweging EFF om voorlopig geen gebruik van PGP te maken, de software die voor het versleutelen van e-mails wordt gebruikt.
Volgens ProtonMail, dat naar eigen zeggen niet kwetsbaar is, is dat advies verkeerd. "Advies om PGP-plug-ins uit te schakelen en het niet versleutelen van e-mails zijn volledig ongerechtvaardigd en kunnen levens in gevaar brengen. Het juiste antwoord op kwetsbare PGP-implementaties is niet om te stoppen met PGP, maar om veilige PGP-implementaties te gebruiken. Als een kwetsbaarheid in je besturingssysteem is ontdekt gooi je ook niet de computer weg, maar patch je die", aldus Andy Yen van ProtonMail.
Volgens Yen is PGP tot nu toe nog altijd de beste manier om e-mails te versleutelen en is het wanneer goed geïmplementeerd zowel veilig als betrouwbaar. Om de ontwikkeling van veilige PGP-implementaties verder te helpen heeft ProtonMail besloten om bepaalde veranderingen aan OpenPGPjs door te voeren. Dit is één van de populairste OpenPGP-bibliotheken, die onder andere door Enigmail en Mailvelope worden gebruikt. ProtonMail beheert OpenPGPjs en hoopt door de aanpassingen, zoals het ondersteunen van Authenticated Encryption, voor een veilig PGP-ecosysteem te zorgen.
Deze posting is gelocked. Reageren is niet meer mogelijk.