Berichtgeving en advies over de EFAIL-aanval, die het in bepaalde gevallen mogelijk maakt om de inhoud van versleutelde e-mails te achterhalen, waren zeer misleidend en potentieel gevaarlijk, zo stelt PGP-ontwikkelaar Phil Zimmermann, alsmede de oprichters van ProtonMail, Enigmail en Mailvelope.
Vorige week maandag waarschuwden onderzoekers en de Amerikaanse burgerrechtenbeweging EFF voor de EFAIL-aanval, die gericht is tegen versleutelde e-mail. Wanneer een aanvaller een versleutelde e-mail van het slachtoffer bezit kan die door het sturen van een e-mail naar het slachtoffer in bepaalde gevallen de inhoud van de onderschepte versleutelde e-mail achterhalen. Hiervoor is het nodig dat de e-mailclient van het slachtoffer HTML / remote content in het e-mailbericht uitvoert. De EFF gaf vervolgens het advies om voorlopig te stoppen met het gebruik van PGP.
In een reactie op de berichtgeving en adviezen laten PGP-ontwikkelaars Zimmermann, Andy Yen, Patrick Brunschwig en Thomas Oberndorfer weten dat die zeer misleidend en potentieel gevaarlijk waren. "PGP is niet kapot", zo stellen de vier ontwikkelaars. Ze merken op dat de EFAIL-kwetsbaarheden niet in het OpenPGP-protocol aanwezig zijn, maar alleen in bepaalde implementaties van PGP, waaronder die van Apple Mail, Mozilla Thunderbird en Microsoft Outlook.
"Als open standaard kan iedereen PGP implementeren en het is geen verrassing dat sommige implementaties kwetsbaarheden bevatten. Dat wil niet zeggen dat PGP zelf kapot is", aldus de verklaring. De vier PGP-ontwikkelaars adviseren dan ook om PGP-implementaties te gebruiken die niet kwetsbaar voor EFAIL zijn of de gebruikte PGP-software naar de laatste versie te updaten. Ook moeten de mensen met wie wordt gecommuniceerd hun PGP-software updaten. "Zorg ervoor dat je bevestiging van je contacten krijgt voordat je gevoelige informatie naar ze toestuurt", stellen de ontwikkelaars verder.
Daarnaast verklaren Zimmermann, Yen, Bruschwig en Oberndorfer dat PGP, GnuPG, Mailvelope en ProtonMail nooit kwetsbaar voor EFAIL waren. Enigmail en GPGtools waren wel kwetsbaar, maar de problemen waren in deze software eenvoudig te verhelpen. Afsluitend krijgen gebruikers van Enigmail het advies om naar versie 2.0.5 te updaten en eenvoudige HTML-weergave of platte tekst voor het weergeven in Thunderbird te gebruiken. Gebruikers van GPGtools doen er verstandig aan om het laden van remote content uit te schakelen.
Deze posting is gelocked. Reageren is niet meer mogelijk.