PGP e S/MIME, i due strumenti più utilizzati al mondo per crittografare i messaggi posta elettronica, sarebbero vulnerabili e permetterebbero di risalire al testo in chiaro partendo dalla versione cifrata.
Autore della scoperta è il professor Sebastian Schinzel, docente presso l’Università di Scienze Applicate di Münster (Germania), che spiega come l’attacco individuato permetta di risalire al contenuto delle email crittografate inviate in passato.
“Al momento non esistono patch efficaci per risolvere la vulnerabilità“, ha aggiunto Schinzel. “Nel caso in cui usaste PGP/GPG o S/MIME per inviare e ricevere comunicazioni contenenti dati riservati, dovreste temporaneamente disattivarli nel client di posta“.
Anche la Electronic Frontier Foundation (EFF), che si è confrontata nelle scorse ore con il team di ricerca tedesco, ha confermato il problema invitando a disabilitare temporaneamente plugin per i client di posta come Enigmail, GPGTools e Gpg4win.
Finché la problematica non sarà corretta, Schinzel suggerisce di adoperare l’app Signal come client di messaggistica istantanea per scambiarsi materiale in modo sicuro.
I dettagli tecnici della vulnerabilità venuta a galla non sono stati ancora resi noti.
We’ll publish critical vulnerabilities in PGP/GPG and S/MIME email encryption on 2018-05-15 07:00 UTC. They might reveal the plaintext of encrypted emails, including encrypted emails sent in the past. #efail 1/4
— Sebastian Schinzel (@seecurity) 14 maggio 2018