I ricercatori della sicurezza stanno inviando un avvertimento a tutto il mondo riguardo a un difetto critico negli strumenti di crittografia e-mail OpenPGP e S / MIME. La vulnerabilità è denominata in codice EFAIL e consente agli aggressori di estrarre il contenuto in testo normale da tutti i messaggi inviati / ricevuti.

Il fatto che questo difetto renda inutile la crittografia della posta elettronica è molto preoccupante. Sfortunatamente, il FEP ha confermato che attualmente non ci sono correzioni o patch affidabili per risolvere il problema.

Fino a quando un numero sufficiente di client viene patchato in modo affidabile, l'invio di messaggi crittografati con PGP può creare incentivi negativi per gli ecosistemi per gli altri a decifrarli. Bilanciare i rischi di continuare a usarlo può essere complicato e dipende dalla tua situazione e da quella dei tuoi contatti.

Si consiglia agli utenti di disabilitare i plug-in di crittografia della posta

Fino a nuovo avviso, agli utenti è stato consigliato di disabilitare i plug-in di crittografia e-mail al fine di evitare che gli aggressori recuperino e-mail crittografate passate dopo la pubblicazione del documento.

Questi passaggi sono intesi come un temporaneo e conservativo divario fino a quando il rischio immediato dell'exploit è passato e mitigato dalla comunità più ampia.

Per ulteriori informazioni su come disabilitare la crittografia e-mail su Outlook, è possibile consultare la guida di EFF.

Lo stato attuale della situazione

Alcuni ricercatori hanno iniziato a divulgare maggiori dettagli sul difetto in anticipo e, di conseguenza, il sito Web efail.de è attivo e anche il documento di ricerca. Entrambi presentano dettagli approfonditi sul difetto di EFAIL. La vulnerabilità è già stata confermata per influire sui plug-in e-mail per il supporto delle operazioni di crittografia.