GnuPG, Wikimedia Commons
Vào tháng 5, một bài báo kỹ thuật do EFAIL xuất bản đã khuyến khích người dùng ngừng sử dụng các plugin GNU Privacy Guard (GPG) khi họ muốn mã hóa email. Như với nhiều sản phẩm mã nguồn mở được tạo ra bởi các nhà phát triển GNU, GPG được sử dụng rộng rãi bởi những người chạy GNU / Linux trong môi trường máy tính để bàn hoặc máy tính xách tay và điều này khiến bài báo khá quan tâm.
Electronic Frontier Foundation cũng đã nêu lên những lo ngại về một số lỗ hổng mới trong phần mềm GPG trong khoảng tháng trước, điều này đã nhắc nhở nhiều chuyên gia bảo mật Linux về những quan điểm được trình bày trong bài báo. Một số chuyên gia GNU / Linux đã đi xa đến mức chỉ đơn giản là gợi ý rằng email được mã hóa không bao giờ có thể thực sự được coi là an toàn.
May mắn thay, các chuyên gia nguồn mở gần đây đã đưa ra các khuyến nghị khác có thể phù hợp hơn với những người đã dựa vào các công cụ GPG để gửi email được mã hóa cho người dùng GNU / Linux khác. Các chuyên gia đã tuyên bố ngay từ hôm thứ Năm rằng bất kỳ ứng dụng thư nào hiển thị HTML, tải hình ảnh tự động hoặc chấp nhận phương tiện từ xa mà không được phép là những gì thực sự gây ra những lỗ hổng này. Tuy nhiên, vấn đề là có vẻ như nhiều người đã không tận dụng chúng.
Enigmail, một plugin GPG phổ biến được thiết kế để hoạt động với Thunderbird, đã nhận được bản cập nhật ngay sau khi báo cáo EFAIL được công bố rộng rãi. Tính đến ngày hôm nay 9 tháng 6, nhiều người dùng chạy Thunderbird trên GNU / Linux vẫn chưa cài đặt bản cập nhật nói trên mặc dù bản cập nhật đã được gần một tháng tại thời điểm này. Vì các plugin này không thường xuyên cập nhật khi các gói lưu trữ thực hiện, những người đang sử dụng tất cả các gói mới nhất từ đầu tháng 6 trên Debian hoặc Ubuntu vẫn có thể gặp rủi ro nếu họ không dành thời gian cập nhật thủ công plugin ngay cả khi họ hiện tại với tất cả các nâng cấp khác.
Danh sách khuyến nghị mới nhất đã nêu rằng việc tắt hiển thị HTML và tải hình ảnh sẽ đánh bại hầu hết các lỗ hổng bảo mật, những lỗ hổng này không thực sự liên quan trực tiếp đến gói GPG. Điều thú vị là các nhà phát triển của Engimail hiện cũng đưa ra đề xuất này vì hỗ trợ HTML bị vô hiệu hóa cùng với mã hóa tạo ra trải nghiệm email an toàn hơn nhiều.
Điều thú vị là vì email được mã hóa phải được nhắm mục tiêu cụ thể bởi những kẻ tấn công, một khối lượng lớn hơn các email được mã hóa được gửi trên Internet sẽ giúp giảm nguy cơ xảy ra bất kỳ cuộc tấn công có chủ đích nào.
Thẻ Bảo mật Linux
