В протоколах PGP и S/MIME найдены критические уязвимости. Расшифрованы могут быть любые письма

Группа ученых обнаружила критические уязвимости в PGP/GPG и S/MIME — двух популярных протоколах, используемых для шифрования почтовой переписки и электронной подписи. Злоумышленник, эксплуатирующий "дыры", сможет прочесть содержимое не только новых сообщений — оно будет доступно ему в виде открытого текста, — но и полученную ранее корреспонденцию.

Группа ученых обнаружила критические уязвимости в PGP/GPG и S/MIME — двух популярных протоколах, используемых для шифрования почтовой переписки и электронной подписи. Злоумышленник, эксплуатирующий "дыры", сможет прочесть содержимое не только новых сообщений — оно будет доступно ему в виде открытого текста, — но и полученную ранее корреспонденцию.

Как сообщил один из исследователей, профессор Мюнстерского университета прикладных наук Себастьян Шинцель, ошибка не может быть исправлена незамедлительно. Чтобы не стать жертвой атаки, пользователям порекомендовали немедленно выключить любые функции, связанные с шифрованием PGP/GPG и S/MIME, в клиенте электронной почты.

В правозащитной организации Electronic Frontier Foundation (EFF) согласились с мнением ученых и призвали пользователей отключить инструменты, которые автоматически дешифруют письма, зашифрованные по протоколу PGP. "До тех пор, пока описанные уязвимости не будут изучены и устранены, пользователям следует обратиться к альтернативным способом шифрования из конца в конец, таким как Signal", — сказали представители EFF.

О самих уязвимостях пока мало что известно, пишет Ars Technica. По словам Шинцеля, команда исследователей из Европы изложит детали "дыр" позднее сегодня.

Ранее группа ученых выявляла несколько важных атак, связанных с криптографией. В 2016-м, например, ими была вскрыта ошибка в пакете OpenSSL, который используется для шифрования коммуникаций между серверами и браузерами. Уязвимость, получившая название DROWN, ставила под угрозу безопасность миллионов сайтов, обеспечивающих передачу данных по зашифрованному протоколу HTTPS.