【ITセキュリティ】暗号化メールを平文で読まれる恐れ、「PGP」「S/MIME」に脆弱性

[過去ﾛｸﾞ] 【ITセキュリティ】暗号化メールを平文で読まれる恐れ、「PGP」「S/MIME」に脆弱性 (20ﾚｽ)
上下前次 1-新

このｽﾚｯﾄﾞは過去ﾛｸﾞ倉庫に格納されています｡
次ｽﾚ検索歴削→次ｽﾚ栞削→次ｽﾚ過去ﾛｸﾞﾒﾆｭｰ

1: あられお菓子 ★ 2018/05/15(火)12:04 ID:CAP_USER(1) AAS
ITmedia エンタープライズ　2018年05月15日 08時40分公開
外部ﾘﾝｸ[html]:www.itmedia.co.jp
「PGP」「S/MIME」に発見された脆弱性は「EFAIL」と命名された
画像ﾘﾝｸ[jpg]:image.itmedia.co.jp
脆弱性が見つかったS/MIME電子メールクライアント（出典：EFAIL解説サイト）
画像ﾘﾝｸ[jpg]:image.itmedia.co.jp

　電子メールの暗号化に広く使われている「PGP」「S/MIME」の両規格に、暗号化されたメッセージを
攻撃者が平文で入手できてしまう脆弱性が報告された。米電子フロンティア財団は当面の対策として、
電子メールクライアントのPGPを無効にし、別の手段に切り替えるよう勧告している。

　脆弱性はドイツのミュンスター応用科学大学などの研究チームが発見し、「EFAIL」と命名。
省18

2(1): 2018/05/15(火)12:05 ID:DreAULMo(1) AAS
PGPとか現役なん？

3(2): 2018/05/15(火)12:07 ID:I0W20r2i(1/2) AAS
暗号化メールを送るようなやつはSSL接続だろうし
HTMLにもしないだろう

4: 2018/05/15(火)12:07 ID:I0W20r2i(2/2) AAS
>>2
代わりに何使ってるん？

5: 2018/05/15(火)12:14 ID:MH2P5RHu(1) AAS
へ、平文…

6(1): 2018/05/15(火)12:19 ID:HKnucIFE(1) AAS
脆弱性が読めない
外部ﾘﾝｸ:9ch.net

7: 2018/05/15(火)12:46 ID:H7HdKZYK(1) AAS
>>6
軟弱者！

8: 2018/05/15(火)12:50 ID:h8w2kF+2(1) AAS
メール暗号化の脆弱性以前に
最初のメールのハッキングか盗聴の時点でダメなんじゃないの

9: 2018/05/15(火)13:43 ID:aKS1bVs9(1) AAS
六四天安門事件(切断

10: 2018/05/15(火)14:41 ID:XTm7Fkmp(1) AAS
電子メールクライアントって「本」で数えるってはじめて知ったわ

11: 2018/05/15(火)14:44 ID:FPAwop5D(1) AAS
スノーデンさんもびっくり？

12: 2018/05/15(火)15:04 ID:Q0Vs+bN8(1) AAS
そもそも読まれて困ることをメールで送るなよ。

13: 2018/05/15(火)15:32 ID:1ifc7u4F(1) AAS
ヘイモン！！

14: 2018/05/15(火)17:33 ID:veZ4RoN/(1) AAS
>>3
それサーバとクライアントの接続の話だから。

15: 2018/05/15(火)21:08 ID:ua2Rea9k(1) AAS
SMTP over SSL
POP over SSL
使っとけばいい話やん。これで第１段階の盗聴は防げる。

それにしてもS/MIMEに対応してないせいか、リクナビから来るメールを
GMAILで受信すると赤い割れた南京錠が表示される。
リクナビのサーバー管理者クソやわ

おまけに最近添付ファイルをZIP暗号化して、別メールでパスワードを送ってくるようになった。
ほんまアホや
その点アマゾンから来るメールはしっかり暗号化されている。

16(1): 2018/05/15(火)21:08 ID:a3pDxCpw(1/2) AAS
多分>>3はメール配信の仕組みを知らない

17: 2018/05/15(火)21:17 ID:a3pDxCpw(2/2) AAS
MUA <-> MTA <-> MTA <-> … <-> MTA <-> MUA

でMUAとMTA間はSSL/TLSで防げるがMTA間の通信がどうなってるかは保証がない
MTA間で盗聴された場合に内容の秘匿性を担保するのがPGPとかS/MIMEだが脆弱のあるMUA実装で復号したメッセージが漏出し得るのが今回の脆弱性

18: 2018/05/15(火)21:35 ID:EaBcpFWa(1) AAS
>>16
よく分からんが、HTMLメールなどのコンテンツを悪用する手口、とあるし、狙った相手の暗号化されたメールの入手が前提、とあるので、on SSLでASCIIだけのメール、ってのはあながち間違いじゃない気が。

19: 2018/05/15(火)22:00 ID:uY5qBruL(1) AAS
heartbeatでheartbleed
speculative executionでspectre
emailでefail

よく考えるねぇ

20: 2018/05/15(火)22:20 ID:wrXqXkl6(1) AAS
RSA2048bit/AESどころかRSA1024bit/DESさえ使われてなかったとは!

上下前次 1-新書関写板覧索設栞歴

ｽﾚ情報赤ﾚｽ抽出画像ﾚｽ抽出歴の未読ｽﾚ AAｻﾑﾈｲﾙ

ぬこの手ぬこTOP 0.111s*