GnuPG、ウィキメディアコモンズ
5月に、EFAILによって発行された技術論文は、ユーザーが電子メールを暗号化したいときにGNU Privacy Guard(GPG)プラグインの使用をやめるように促しました。 GNU開発者によって作成された多くのオープンソース製品と同様に、GPGはデスクトップまたはラップトップ環境でGNU / Linuxを実行する人々によって広く使用されており、これが論文をかなり懸念させました。
Electronic Frontier Foundationはまた、先月かそこらの間にGPGソフトウェアのいくつかの新しい脆弱性について懸念を表明しました。これは、多くのLinuxセキュリティ専門家に論文で表明されたそれらの見解を思い出させました。数人のGNU / Linuxスペシャリストは、暗号化された電子メールが本当に安全であるとは決して考えられないことを単に示唆するところまで行きました。
幸いなことに、オープンソースの専門家は最近、暗号化された電子メールを他のGNU / Linuxユーザーに送信するためにGPGツールに依存している人々に適している可能性のあるさらなる推奨事項をリリースしました。専門家は早ければ木曜日に、HTMLをレンダリングしたり、画像を自動的に読み込んだり、許可なくリモートメディアを受け入れたりするメールクライアントが、これらの脆弱性の実際の原因であると述べていました。ただし、問題は、多くの人がそれらを利用していないように見えることです。
Thunderbirdで動作するように設計された人気のGPGプラグインであるEnigmailは、EFAILレポートが一般にリリースされた直後に更新を受け取りました。今日の6月9日の時点で、GNU / LinuxでThunderbirdを実行している多くのユーザーは、この時点で更新が1か月近く経過しているにもかかわらず、この更新をまだインストールしていません。これらのプラグインはリポジトリパッケージが更新するときに更新されないことが多いため、6月上旬からDebianまたはUbuntuで最新のパッケージをすべて使用しているユーザーは、プラグインを手動で更新する時間をとっていなくても、リスクにさらされる可能性があります。 '他のすべてのアップグレードで最新です。
最新の推奨事項のリストでは、HTMLレンダリングと画像の読み込みを無効にすると、実際にはGPGパッケージ自体に直接関係しない脆弱性のほとんどが無効になると記載されています。興味深いことに、暗号化と組み合わせた無効化されたHTMLサポートにより、はるかに安全な電子メールエクスペリエンスが実現するため、Engimailの開発者もこの推奨事項を作成しています。
興味深いことに、暗号化された電子メールは攻撃者の標的となる必要があるため、インターネットで送信される暗号化された電子メールの量を増やすと、標的型攻撃が機能するリスクを減らすことができます。
タグ Linuxのセキュリティ
