PGP ¿llega el final de una era?

Yago Gómez Trenor - Analista de Seguridad de Vintegris

Yago Gómez Trenor – Analista de Seguridad de Vintegris

Parece que llega el final de una era en seguridad, investigadores alemanes han encontrado una gran vulnerabilidad en PGP (Pretty Good Privacy), un popular programa de encriptación de correo electrónico, que podría revelar correos electrónicos encriptados pasados ??y presentes.

El profesor de ciencias de la computación en la Universidad de Münster Sebastian Schinzel, analizó el error y tuiteó que todos los detalles de la vulnerabilidad están disponibles.
Él dijo: “revela el texto claro de los correos electrónicos cifrados, incluidos los correos electrónicos encriptados enviados en el pasado”.
Publicamos vulnerabilidades críticas en el cifrado de correo electrónico PGP / GPG y S / MIME en 2018-05-15 desde las 4 de la mañana hora del Este para el continente americano.
La información relevante expone el texto claro de los correos electrónicos cifrados, incluidos los correos electrónicos encriptados enviados en el pasado. #efail] 1/4 – expresó Sebastian Schinzel (@seecurity) en un tuit publicado el 14 de mayo.
Desde su lanzamiento en 1991, PGP se ha considerado el estándar para los mensajes cifrados, y se mantiene como uno de los métodos más populares para enviar correos electrónicos privados.
Sin embargo, se produjo un final evidente con la adopción de aplicaciones de mensajería privadas como Signal o Telegram, que ofrecen cifrado de extremo a extremo.
Electronic Frontier Foundation (EFF), un grupo de derechos digitales con sede en San Francisco revisó los posibles defectos y pudo confirmar en un blog que “estas vulnerabilidades representan un riesgo inmediato para quienes utilizan estas herramientas para la comunicación por correo electrónico, incluida la posible exposición del contenido de los mensajes??”.
¿Cómo protegerse de las fallas de PGP?
Los consejos de EFF y Schinzel son idénticos: deshabilite los complementos que utilizan PGP, deje de enviar y lea correos electrónicos cifrados con PGP y use otros canales con encriptación de extremo a extremo.
El EFF ha publicado tutoriales detallados sobre cómo deshabilitar el cifrado PGP en los principales clientes de correo electrónico como Outlook y Apple Mail.
Si Usted utiliza Thunderbird con Enigmail, un correo de Apple con GPGTools o Outlook con Gpg4win, el EFF tiene tutoriales paso a paso para deshabilitar temporalmente sus complementos de PGP.
Las vulnerabilidades existen en los propios clientes de correo electrónico, en lugar del protocolo de cifrado PGP.
Según el software de encriptación GNU Privacy Guard (GnuPG), el problema proviene de los programas de correo electrónico que no comprueban correctamente los errores de descifrado y siguen los enlaces en los correos electrónicos que incluyen código HTML.
“Entonces, la vulnerabilidad está en los clientes de correo y no en los protocolos.
De hecho, OpenPGP es inmune si se usa correctamente mientras que S / MIME no tiene mitigación desplegada.” GNU Privacy Guard (@gnupg) publicó ayer 14 de mayo
Werner Koch, describió el tema como “exagerado” por la EFF en una publicación en su blog. También señaló que no fue contactado directamente por este problema en particular.
En este momento no existe una solución para el defecto, por lo que tomar precauciones adicionales y usar un servicio alternativo de mensajería segura es la mejor manera temporal de transitar por la situación, sin salir vulnerado.

 

Por Yago Gómez Trenor – Analista de Seguridad de Vintegris