x

RSS Newsfeeds

See all RSS Newsfeeds

May 15, 2018 5:00 AM ET

Sujeto a los Términos de uso.

Cómo proteger tu correo electrónico ahora que PGP está comprometida

iCrowdNewswire - May 15, 2018
Fotografía: Markus Spiske (Unsplash)

Si usted ha estado usando PGP, de Pretty Good Privacy, para enviar y recibir correos electrónicos cifrados, podría ser tiempo de cambiar a un servicio diferente para mantener la privacidad de sus comunicaciones. Una nueva vulnerabilidad, hilarantemente llamado EFAIL, puede revelar el contenido de sus correos electrónicos (emails incluso mayores, en algunos casos) en texto sin formato. Adiós, secreto.

Si sólo utiliza su servicio favorito de correo electrónico para enviar mensajes normales a amigos, leer boletines impresionantes, o negocios que usted es enojado en explosión, estas cuestiones no afectarán en absoluto. Usted sabrá si usted está usando PGP, porque la premisa entera del programa se basa en utilizar claves públicas y privadas, enormes cadenas de texto, para cifrar y descifrar mensajes. Mensajes secretos, idealmente, imágenes no sólo divertido gato que desea enviar a su otro significativo.

 

Existe cierto debate ahora mismo sobre cuán problemático es realmente la vulnerabilidad EFAIL, puesto que algunas empresas y gente de seguridad está señalando eso si sólo asegúrese de no recibir mensajes de correo electrónico HTML, cambiar a texto plano, por el contrario, usted va a estar bien. Como escribe de Werner Koch de GnuPG:

“Hay dos maneras para mitigar este ataque
-No use correos HTML. O si realmente necesita leerlos usa un analizador MIME adecuado y no permitir ningún acceso a enlaces externos.
-Uso autenticado cifrado. “

Si el problema radica en PGP y S/MIME, como las notas de la Electronic Frontier Foundation, o los clientes de correo electrónico, su nivel de comodidad con comunicaciones encriptadas determinará sus próximos pasos. Como señala efail.de , hay algunas técnicas que puede adoptar para mitigar el efecto de EFAIL en sus comunicaciones seguras:

“A corto plazo: No descifrado en cliente de correo electrónico. La mejor manera de prevenir los ataques EFAIL es descifrar solamente S/MIME o PGP correos electrónicos en una aplicación fuera de tu cliente de correo electrónico. Comience quitando su S/MIME y claves privadas de PGP desde su cliente de correo electrónico, luego descifrar correos electrónicos cifrados entrantes por copiar y pegar el texto cifrado en una aplicación independiente que realiza el descifrado para usted. Así, los clientes de correo no pueden abrir canales de exfiltración. Actualmente es la opción más segura con la desventaja de que el proceso se involucra más.

Corto plazo: deshabilitar procesamiento de HTML. El EFAIL ataques abuso contenido activo, sobre todo en forma de imágenes HTML, estilos, etcetera. Deshabilitar la presentación de entrada HTML mensajes de correo electrónico en tu cliente de correo se cierra lo más destacado de atacar EFAIL. Tenga en cuenta que hay otros posibles backchannels en clientes de correo electrónico que no están relacionados con HTML, pero son más difíciles de explotar.

Mediano plazo: parches. Algunos proveedores publicará parches que fijan las vulnerabilidades EFAIL o hacen mucho más difíciles de explotar.

Largo plazo: estándares OpenPGP actualización y S/MIME. Los ataques EFAIL explotan fallos y comportamiento definido en los estándares de OpenPGP, MIME y S/MIME. Por lo tanto, las normas deben actualizarse, que tomará algún tiempo”.

¿Nuestro Consejo? Tal vez es hora de dejar de usar el correo electrónico para comunicaciones encriptadas. La EFF sugiere esto como una solución temporal, por lo menos:

“Nuestro Consejo, que la de los investigadores refleja, es que inmediatamente desactivar o desinstalar herramientas que descifrar automáticamente correo electrónico cifrado con PGP. Hasta que los defectos descritos en el documento más ampliamente entendido y fijo, usuarios deben solicitar el uso de canales seguros alternativos de end-to-end, como señal y detener temporalmente el envío y sobre todo leer correo electrónico cifrado con PGP.”

 

Wired se describe en un artículo de 2017, aplicaciones que disponen de cifrado de extremo a extremo como señal, WhatsApp, Confide o incluso Skypeentre otros— son grandes para el envío de comunicaciones protegidas (por ahora).

Mientras que es no quiere para decir que cualquiera de estas aplicaciones, o incluso el protocolo de señal que utilizan para asegurar sus mensajes, son inmune a ataques futuros (de todas las variedades), mensajería aplicaciones integrada end-to-end cifrado que puede ser considerando como un alternativa al correo electrónico para sus mensajes de mayor privacidad. No son infalibles, especialmente si alguien tiene un dispositivo comprometido en el otro extremo, pero son mejores que nada si puede estómago las diferencias

Via iCrowdNewswire
Tags: News
View Related News >