GnuPG, Wikimedia Commons
Bereits im Mai forderte ein von EFAIL veröffentlichtes technisches Dokument die Benutzer auf, die Verwendung von GPN-Plugins (GNU Privacy Guard) einzustellen, wenn sie E-Mails verschlüsseln möchten. Wie bei vielen Open-Source-Produkten von GNU-Entwicklern wird GPG häufig von jenen verwendet, die GNU / Linux in einer Desktop- oder Laptop-Umgebung ausführen, und dies machte das Papier eher besorgniserregend.
Die Electronic Frontier Foundation hat im letzten Monat auch Bedenken hinsichtlich mehrerer neuer Sicherheitslücken in der GPG-Software geäußert, die viele Linux-Sicherheitsexperten an die in dem Papier geäußerten Ansichten erinnert hatten. Einige GNU / Linux-Spezialisten schlugen sogar vor, dass verschlüsselte E-Mails niemals wirklich als sicher angesehen werden können.
Glücklicherweise haben Open-Source-Experten kürzlich weitere Empfehlungen veröffentlicht, die möglicherweise besser zu denen passen, die sich auf GPG-Tools verlassen haben, um verschlüsselte E-Mails an andere GNU / Linux-Benutzer zu senden. Experten hatten bereits am Donnerstag erklärt, dass jeder E-Mail-Client, der HTML rendert, Bilder automatisch lädt oder Remote-Medien ohne Erlaubnis akzeptiert, tatsächlich diese Sicherheitsanfälligkeiten verursacht. Das Problem ist jedoch, dass anscheinend viele sie nicht ausgenutzt haben.
Enigmail, ein beliebtes GPG-Plugin für Thunderbird, erhielt kurz nach Veröffentlichung des EFAIL-Berichts ein Update. Bis zum heutigen 9. Juni haben viele Benutzer, die Thunderbird unter GNU / Linux ausführen, dieses Update noch nicht installiert, obwohl das Update zu diesem Zeitpunkt fast einen Monat alt ist. Da diese Plugins nicht oft aktualisiert werden, wenn Repository-Pakete dies tun, sind diejenigen, die ab Anfang Juni die neuesten Pakete unter Debian oder Ubuntu verwenden, möglicherweise immer noch gefährdet, wenn sie sich nicht die Zeit genommen haben, das Plugin manuell zu aktualisieren, selbst wenn sie dies tun sind mit allen anderen Upgrades aktuell.
In der neuesten Liste der Empfehlungen wurde angegeben, dass durch Deaktivieren des HTML-Renderings und des Ladens von Bildern die meisten Sicherheitslücken beseitigt werden, die nicht direkt mit dem GPG-Paket selbst zusammenhängen. Interessanterweise geben die Entwickler von Engimail diese Empfehlung jetzt ebenfalls ab, da die deaktivierte HTML-Unterstützung in Verbindung mit der Verschlüsselung für ein viel sichereres E-Mail-Erlebnis sorgt.
Interessanterweise würde ein größeres Volumen verschlüsselter E-Mails, die im Internet gesendet werden, dazu beitragen, das Risiko zu verringern, dass gezielte Angriffe funktionieren, da verschlüsselte E-Mails speziell von Angreifern angegriffen werden müssen.
Stichworte Linux-Sicherheit
