image

ProtonMail: Advies om PGP-plug-ins uit te schakelen gevaarlijk

dinsdag 15 mei 2018, 09:58 door Redactie, 6 reacties
Laatst bijgewerkt: 15-05-2018, 11:39

Het advies om PGP-plug-ins vanwege verschillende kwetsbaarheden uit te zetten is ongerechtvaardigd en kan levens in gevaar brengen, zo stelt de versleutelde e-maildienst ProtonMail. Gisteren maakten onderzoekers twee manieren bekend waardoor ze in bepaalde gevallen de inhoud van versleutelde e-mails kunnen achterhalen.

Hiervoor moet een aanvaller over een versleuteld bericht van het slachtoffer beschikken en vervolgens een e-mail met HTML-opmaak naar het slachtoffer sturen. Als het slachtoffer geen HTML in zijn e-mailclient uitvoert werken de nu gedemonstreerde aanvallen niet. Naar aanleiding van de ontdekking adviseerde de Amerikaanse burgerrechtenbeweging EFF om voorlopig geen gebruik van PGP te maken, de software die voor het versleutelen van e-mails wordt gebruikt.

Volgens ProtonMail, dat naar eigen zeggen niet kwetsbaar is, is dat advies verkeerd. "Advies om PGP-plug-ins uit te schakelen en het niet versleutelen van e-mails zijn volledig ongerechtvaardigd en kunnen levens in gevaar brengen. Het juiste antwoord op kwetsbare PGP-implementaties is niet om te stoppen met PGP, maar om veilige PGP-implementaties te gebruiken. Als een kwetsbaarheid in je besturingssysteem is ontdekt gooi je ook niet de computer weg, maar patch je die", aldus Andy Yen van ProtonMail.

Volgens Yen is PGP tot nu toe nog altijd de beste manier om e-mails te versleutelen en is het wanneer goed geïmplementeerd zowel veilig als betrouwbaar. Om de ontwikkeling van veilige PGP-implementaties verder te helpen heeft ProtonMail besloten om bepaalde veranderingen aan OpenPGPjs door te voeren. Dit is één van de populairste OpenPGP-bibliotheken, die onder andere door Enigmail en Mailvelope worden gebruikt. ProtonMail beheert OpenPGPjs en hoopt door de aanpassingen, zoals het ondersteunen van Authenticated Encryption, voor een veilig PGP-ecosysteem te zorgen.

Reacties (6)
15-05-2018, 10:34 door [Account Verwijderd]
Gisteren nog ingelogd bij Protonmail en toen vond ik deze mail hieronder afkomstig van ProtonMail.

Dear ProtonMail user,

Over the last few days we have noticed an unusually high number of phishing attempts targeting ProtonMail accounts. To help keep your account safe, we want to remind you of a few security tips:
* All emails sent by ProtonMail (like this one) are always starred by default. If it is not starred, we did not send it, and it is a phishing attempt.
* If you receive a suspicious email containing a link or attachments, do not click the link or open the attachments. Mark it as spam, and future emails from that sender will go to your spam folder.
* ProtonMail will never send you an email with a link asking you to enter your credentials.
* If you are not sure whether an email is legitimate, please do not hesitate to ask us. You can reach us at security@protonmail.ch.
* If you have previously fallen for a phishing email, please immediately change your account password.
Phishing attacks are one of the most common ways to hack an email account. But they are also easy to prevent if you know what to do (and what not to do). For more information about phishing and how ProtonMail keeps you safe, check out this article: https://protonmail.com/blog/prevent-phishing-attacks

Stay safe,?The ProtonMail Team
15-05-2018, 10:34 door Anoniem

Het juiste antwoord op kwetsbare PGP-implementaties is niet om te stoppen met PGP, maar om veilige PGP-implementaties te gebruiken. Als een kwetsbaarheid is ontdekt in je besturingssysteem gooi je ook niet de computer weg, maar patch je die"

Ja maar wacht even... als je als "onderzoeker" of "groep" een bug vindt dan ga je natuurlijk niet met een persbericht komen
met "even wachten op de update mensen". Daar scoor je niet meer mee. Nee, drastische maatregelen moet je eisen
zodat de mensen jou kennen als de expert en bovendien nog een 2e communicatie nodig is als alles weer veilig is, en
je WEER aandacht krijgt.

Perberichten over kwetsbaarheden uitbrengen is veel interessanter dan de kwetsbaarheden zelf.
15-05-2018, 11:03 door Anoniem
HTML Email is gevaarlijker dan deze PGP bug. Dus zet je HTML reader uit en blijf lekker PGP gebruiken met good old plain text mail!

TheYOSH
15-05-2018, 13:25 door Anoniem

en kunnen levens in gevaar brengen.
Lekker dreigende tekst weer vanuit ProtonMail.
Origineel:
"Recommendations to disable PGP plugins and stop encrypting emails are completely unwarranted and could put lives at risk."

Originele bericht:
https://protonmail.com/blog/pgp-vulnerability-efail/
15-05-2018, 13:45 door Anoniem
Mijn raad: pgp gewoon ingeschakeld houden en blijf met het beperken van persoonlijke berichten te mailen. Encryptie hoeft ook niet specifiek altijd om persoonlijke redenen te gaan, maar gewoon om jezelf toch nog een klein beetje privacy te gunnen. Waarom zeg ik een "klein beetje"? Omdat alles wat je doet op het internet niet privé is, de meeste van jouw data is al verkocht door facebook/google/twitter/microsoft/etc. Vele mensen denken dat het al te laat is om encryptie te gebruiken, maar dat is heus niet waar en zeker niet als je nog jong bent, want je leven zal er over 20 jaar anders uit zien. (nieuwe/andere vrienden, nieuw telefoonnummer, verhuis, nieuwe job/collega's, nieuw ip-adres/internetprovider, etc.) Dus stop vandaag met facebook, google, twitter etc en gebruik voortaan encryptie en software die edward snowden ons aanraad. Privacytools.io kan ook en goede hulptool zijn.
15-05-2018, 21:31 door Anoniem
Door Anoniem: HTML Email is gevaarlijker dan deze PGP bug. Dus zet je HTML reader uit en blijf lekker PGP gebruiken met good old plain text mail!

TheYOSH

Zo is het. Alleen goptm gebruiken.
En liefst ook alleen goptm gebruiken voor te verzenden berichten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.