Versleutelde e-mail onbetrouwbaar door GnuPG probleem
Beveiligingsonderzoeker Gerardo Richarte heeft een probleem in GnuPG ontdekt waardoor kwaadwillende personen met digitaal getekende en versleutelde e-mails kunnen knoeien. Het probleem wordt veroorzaakt door de manier waarop bepaalde e-mail clients met GnuPG ondertekende berichten weergeven. Hierdoor is het niet mogelijk om te bepalen welk gedeelte van het bericht getekend is.
"Het is mogelijk om extra tekst voor of na het gesigneerde of versleutelde OpenPGP bericht te plaatsen, en de gebruiker te laten geloven dat deze extra tekst gesigneerd is" zo waarschuwt het Gnu Privacy Guard team. De applicatie moet dan wel in "streaming mode" gebruikt worden. Hoewel het niet om een beveiligingslek gaat, heeft men toch een update uitgebracht die via deze advisory te vinden is.
Een waarschuwing is op z'n plaats. Het installeren van de update kan ervoor zorgen dat de betreffende e-mail applicatie hier niet mee werkt. "Het updaten van de applicatie is nodig, aangezien dit iets is dat onmogelijk door GnuPG gedaan kan worden" (ISC)
actief hiermee bezig geweest. Onder linux/unix zijn hier wel
handige programma's/tools voor maar onder windows (lees
outlook)...
Op zich is dit probleem trouwens niet echt een ramp.. zeker
niet als je buiten het ondertekenen encrypted verstuurd
waar het gesigneerde deel begint en eindigt.
maar met de manier waarom de mail client het gesigneerde
bericht toont en overige tekst. Deze scheiding is er niet of
slecht en derhalve kan het lijken alsof de overige tekst bij
het gesigneerde hoort.
e-mailberichten die je ontvangt te controleren of de
handtekening wel klopt. Dat was toch de achterliggende reden
van het digitaal ondertekenen van een e-mailbericht?
linux...
werkt perfect.
gratis single user certificaten kan je bv bij thawhte aanvragen:
http://www.thawte.com/secure-email/web-of-trust-wot/wot_does.html
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.