PGP-ontwikkelaars hekelen berichtgeving over EFAIL-aanval
Berichtgeving en advies over de EFAIL-aanval, die het in bepaalde gevallen mogelijk maakt om de inhoud van versleutelde e-mails te achterhalen, waren zeer misleidend en potentieel gevaarlijk, zo stelt PGP-ontwikkelaar Phil Zimmermann, alsmede de oprichters van ProtonMail, Enigmail en Mailvelope.
Vorige week maandag waarschuwden onderzoekers en de Amerikaanse burgerrechtenbeweging EFF voor de EFAIL-aanval, die gericht is tegen versleutelde e-mail. Wanneer een aanvaller een versleutelde e-mail van het slachtoffer bezit kan die door het sturen van een e-mail naar het slachtoffer in bepaalde gevallen de inhoud van de onderschepte versleutelde e-mail achterhalen. Hiervoor is het nodig dat de e-mailclient van het slachtoffer HTML / remote content in het e-mailbericht uitvoert. De EFF gaf vervolgens het advies om voorlopig te stoppen met het gebruik van PGP.
In een reactie op de berichtgeving en adviezen laten PGP-ontwikkelaars Zimmermann, Andy Yen, Patrick Brunschwig en Thomas Oberndorfer weten dat die zeer misleidend en potentieel gevaarlijk waren. "PGP is niet kapot", zo stellen de vier ontwikkelaars. Ze merken op dat de EFAIL-kwetsbaarheden niet in het OpenPGP-protocol aanwezig zijn, maar alleen in bepaalde implementaties van PGP, waaronder die van Apple Mail, Mozilla Thunderbird en Microsoft Outlook.
"Als open standaard kan iedereen PGP implementeren en het is geen verrassing dat sommige implementaties kwetsbaarheden bevatten. Dat wil niet zeggen dat PGP zelf kapot is", aldus de verklaring. De vier PGP-ontwikkelaars adviseren dan ook om PGP-implementaties te gebruiken die niet kwetsbaar voor EFAIL zijn of de gebruikte PGP-software naar de laatste versie te updaten. Ook moeten de mensen met wie wordt gecommuniceerd hun PGP-software updaten. "Zorg ervoor dat je bevestiging van je contacten krijgt voordat je gevoelige informatie naar ze toestuurt", stellen de ontwikkelaars verder.
Daarnaast verklaren Zimmermann, Yen, Bruschwig en Oberndorfer dat PGP, GnuPG, Mailvelope en ProtonMail nooit kwetsbaar voor EFAIL waren. Enigmail en GPGtools waren wel kwetsbaar, maar de problemen waren in deze software eenvoudig te verhelpen. Afsluitend krijgen gebruikers van Enigmail het advies om naar versie 2.0.5 te updaten en eenvoudige HTML-weergave of platte tekst voor het weergeven in Thunderbird te gebruiken. Gebruikers van GPGtools doen er verstandig aan om het laden van remote content uit te schakelen.
Er zijn mensen die veilig willen mailen (zeker nu met die AVG) en die worden door een dergelijke woordenbrij totaal
overdonderd. De mensen rond crypto snappen niet dat de gebruiker geen totaalplaatje heeft van wat er gebeurt, en
dus geen touw aan dit soort berichtgeving (en aan handleidingen, best practices en wat al niet meer) kunnen vastknopen.
Als men dit soort technieken nog een kans wil geven zal dat echt anders moeten, of anders moet men gewoon toegeven
dat het niet voor de gewone gebruiker is en andere methoden voor veilig communiceren (zoals berichtenboxen) aanraden
in plaats van steeds maar dit karkas van een al jaren dood paard te blijven trekken.
En ja, de berichtgeving was behoorlijk jammer, met alle gebruikelijke pogingen tot hype-genereren en veel te weinig substantie, die vervolgens ook nog eens vooral een storm in een glas water bleek. Helaas wel par for the course in "security"-land.
En ja, de berichtgeving was behoorlijk jammer, met alle gebruikelijke pogingen tot hype-genereren en veel te weinig substantie, die vervolgens ook nog eens vooral een storm in een glas water bleek. Helaas wel par for the course in "security"-land.
Ja helaas is de race toch vooral om "hee kijk ikke security lekkie gevonde, persberiggie!!".
Of er werkelijk wat aan de hand is dat is een tweede.
Maar de arme computergebruiker wordt wel opgezadeld met het ene tegenstrijdige advies na het andere, en een steeds
tragere computer door steeds meer workarounds in de software.
de vulnerability met 3rd party implementaties werkten alleen als je al niet erg slim was met de implementatie (HTML mail !!?!) en als je al eerder contact hebt gehad.
En mensen laten overstappen naar Signal wat helemaal geen mail client communicatie heeft was nog belachelijker.
Er zijn mensen die veilig willen mailen (zeker nu met die AVG) en die worden door een dergelijke woordenbrij totaal
overdonderd.
PGP-ontwikkelaars: 545 woorden.
EFF had drie keer zo veel woorden nodig. Weet je zeker dat de doelgroep niet veel meer moeite had met de woordenbrei van EFF?
Wie daarentegen ook nog eens plaatjes en opmaak wil behouden, moet gewoon kiezen voor het gebruik van X.509 certificaten, hetzij middels een uitgever van certificaten of zelf certificaten ontwerpen
Zelfgemaakte certificaten: http://hohnstaedt.de/xca/, Nederlandse website met voorbeelden: https://sites.google.com/site/certificaatversleuteling/home
Comodo uitgever email certificaten: https://manual.true.nl/workspace-amsterdam/email-collaboration/encryptie/persoonlijk-certificaat-aanvragen/
Deze certificaten werken alleen met een e-mailcliënt, zoals Microsoft Outlook, en Mozilla Thunderbird
Wie daarentegen ook nog eens plaatjes en opmaak wil behouden, moet gewoon kiezen voor het gebruik van X.509 certificaten, hetzij middels een uitgever van certificaten of zelf certificaten ontwerpen
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
