PGP encryptie in e-mail niet meer veilig

Op Twitter is er door @gnupg een tweet gemaakt over dat het probleem niet in het protocol, maar in de implementatie zit. Enige wat daar vervolgens op wordt gereageerd is door @seecurity "Could you please keep it quiet? There will be plenty of time to do this discussion.". (overigens heeft meneer z'n eigen PGP keys nog gewoon in z'n twitter description staan, maar goed...)

Ik vind de informatievoorziening een beetje apart in deze. De hele wereld staat in brand, maar we gaan morgen wel uitleggen waarom, het is in ieder geval belangrijk om nu niets meer te beveiliging met PGP. Nu blijkt over 24 uur straks dat er een handje vol clients waren met een probleem, compleet overtrokken, of er blijkt echt iets met het protocol te zijn, maar dan had dit veel beter gecommuniceerd mogen worden.

Gok is dat het een remote code execution zou kunnen zijn bij verifieren van keys.
In dat geval is er niets mis met het protocol, maar kun je door de remote code execution wel de private key stelen.

Lijkt mij het enige logische, want het is kennelijk fixbaar, want vooralsnog hoef je het alleen tijdelijk niet te gebruiken. Tevens zou dat kunnen verklaren dat men stelt dat alle voorgaande geencrypte content openbaar zou kunnen worden.

Er toch weer ingestonken, het lijkt weer veel suffer te zijn, net als al zijn hippe naamgenoten qua lekken.
Tis niet slim van sommige MUA's maar goed het automagisch downloaden van content vanuit emails was toch al niet iets wat je aangeschakeld wil hebben. Niet slim dat ze met mails waarvan de integriteit niet in order is niet uiterst voorzichtig zijn, dat wel, maar goed verder vooral orkaan in een glas water zoals het er naar uit ziet.

[ Voor 34% gewijzigd door gekkie op 14-05-2018 11:22 ]

-

[ Voor 98% gewijzigd door Verwijderd op 19-10-2019 15:34 . Reden: Leeg ivm privacy ]

https://nos.nl/artikel/22...ailen-nu-niet-veilig.html

NOS heeft al een artikel, maar Tweakers nog niks.

Verwijderd schreef op maandag 14 mei 2018 @ 10:36:
Ik moet het nog zien. Dankzij vreselijk overtrokken "lekken" zoals heartbleed en krack-attack wacht ik wel even voor ik dingen uit ga zetten.

Ach een dagje niet vertrouwen op PGP voor de communicatie en deze dus eventueel uitstellen tot er duidelijkheid is, is op zich ook geen onoverkomelijke ramp lijkt me, al zal het risico als nog wel klein zijn.

Werner Koch van GNU Privacy Guard heeft al bijkomende toelichting gegeven over de betreffende paper op de gnupg-users mailing list:

Efail or OpenPGP is safer than S/MIME

valkenier schreef op maandag 14 mei 2018 @ 17:15:
Ah OK, dat is een stukje meer informatie. Ik had het ook bij de tweakers redactie gesubmot, maar iemand was me al voor. Kennelijk vond de redactie het geen nieuws, want er staat niks op,de frontpage. Het zou twekaers nou juist sieren als ze hier een verhelderend artikeltje aan wijden.

Hoezo niets?
Dit artikel gaat toch hierover: nieuws: Onderzoekers: stop direct met gebruik pgp vanwege lekken - update
Of mis ik nu iets?

KMail gebruiken. Daar gaat het dus wel goed.

ATS schreef op vrijdag 18 mei 2018 @ 15:24:
KMail gebruiken. Daar gaat het dus wel goed.

Yep, gebruik ik hier ook. Echter gaat er dan wel iets anders mis (Akonadi blijft soms hangen op de filters)

DJMaze schreef op vrijdag 18 mei 2018 @ 16:00:
[...]

Yep, gebruik ik hier ook. Echter gaat er dan wel iets anders mis (Akonadi blijft soms hangen op de filters)

Ik wilde niet claimen dat KMail en Akonadi perfect zijn Dat filteren is al een probleem sinds... nouja, sinds filteren in KMail zit denk ik. Een van de meest gehate bugs in KMail is die van mij over hoe filteren KMail laat hangen.