Новые рекомендации GPG по безопасности помогают уменьшить опасения по поводу уязвимостей

GnuPG, Wikimedia Commons

Еще в мае в техническом документе, опубликованном EFAIL, пользователям предлагалось прекратить использование подключаемых модулей GNU Privacy Guard (GPG), когда они хотели зашифровать электронную почту. Как и многие продукты с открытым исходным кодом, созданные разработчиками GNU, GPG широко используется теми, кто запускает GNU / Linux на настольных компьютерах или ноутбуках, и это сделало статью довольно тревожной.

Фонд Electronic Frontier Foundation также выразил обеспокоенность по поводу нескольких новых уязвимостей в программном обеспечении GPG в течение последнего месяца или около того, что напомнило многим экспертам по безопасности Linux мнения, выраженные в документе. Некоторые специалисты по GNU / Linux зашли так далеко, что просто предположили, что зашифрованная электронная почта никогда не может считаться действительно безопасной.

К счастью, эксперты по открытым исходным кодом недавно выпустили дополнительные рекомендации, которые могут лучше подойти тем, кто полагался на инструменты GPG для отправки зашифрованной электронной почты другим пользователям GNU / Linux. Еще в четверг эксперты заявили, что любой почтовый клиент, который обрабатывает HTML, загружает изображения автоматически или принимает удаленные носители без разрешения, на самом деле является причиной этих уязвимостей. Проблема, однако, в том, что кажется, что многие ими не воспользовались.

Enigmail, популярный плагин GPG, предназначенный для работы с Thunderbird, получил обновление вскоре после публикации отчета EFAIL. По состоянию на сегодняшний день, 9 июня, многие пользователи, использующие Thunderbird в GNU / Linux, еще не установили указанное обновление, несмотря на то, что на данный момент обновление было выпущено почти месяц назад. Поскольку эти плагины не часто обновляются вместе с пакетами репозитория, те, кто использует все последние пакеты с начала июня на Debian или Ubuntu, могут по-прежнему подвергаться риску, если они не нашли время, чтобы вручную обновить плагин, даже если они актуальны для всех остальных обновлений.

В последнем списке рекомендаций указано, что отключение рендеринга HTML и загрузки изображений устранит большинство уязвимостей, которые на самом деле не имеют прямого отношения к самому пакету GPG. Интересно, что разработчики Engimail теперь также дают эту рекомендацию, поскольку отключенная поддержка HTML в сочетании с шифрованием делает электронную почту гораздо более безопасной.

Интересно, что поскольку зашифрованная электронная почта должна быть специально нацелена на злоумышленников, больший объем зашифрованной электронной почты, отправляемой через Интернет, поможет снизить риск того, что любые целевые атаки будут работать.