Slo-Tech - Iz spletnega vmesnika za Gmail je že sedaj možno pošiljati šifrirano elektronsko pošto, a terja nekaj usklajevanja med pošiljateljem in prejemnikom. Za uporabo protokola S/MIME (Secure/Multipurpose Internet Mail Extensions) za pošiljanje šifriranih elektronskih sporočil mora imeti prejemnik konfiguriranega odjemalca, kar ni vedno res. Google bo to prepreko odpravil.

Poslovni uporabniki bodo lahko šifrirana sporočila pošiljali preprosto tako, da bodo s klikom vključili možnost šifriranje med pisanjem elektronskega sporočila. Kdor ima Gmail oziroma S/MIME, bo sporočilo normalno videl in prebral. Kdor pa tega nima, bo prejel povezavo, ki mu bo omogočala vpis v račun Google Workspace, kjer bo sporočilo lahko prebral in nanj odgovoril. V računih Gmail bo dešifriranje potekalo avtomatično in brez uporabnikove interakcije.

Čeprav je šifriranje korak dlje od TLS-a, vendarle ne gre za šifriranje od pošiljatelja do prejemnika (end-to-end), ker Google vsebino vidi. Novost bodo uvajali...

Slo-Tech - SKupian evropskih raziskovalcev je na Twiterju objavila opozorilo, da so v šifriranju elektronske pošte PGP/GPG in S/MIME našli skupino resnih ranljivosti, ki lahko napadalcu razkrijejo vsebino preteklih (šifriranih) sporočil.

Podrobnosti sicer še niso znane, jih bodo pa objavili jutri ob 9:00 zjutraj po našem času. Raziskovalci so s podrobnostmi ranljivosti predhodno seznanili Electronic Frontier Foundation, ki je potrdila, da gre za resno grožnjo.

Kot prvi ukrep se priporoča onemogočanje samodejnega dešifriranja sporočil, torej onemogočanje dodatkov za PGP/GPG šifriranje v poštnih odjemalcih (npr. Enigmail v odjemalcu Thunderbird, GPGTools v Apple Mail, Gpg4win v Outlook).

O podrobnostih bomo še poročali.

DODATEK: avtorji so predčasno objavili opis ranljivosti. Na kratko, gre za dve metodi. Prva je tim. neposredno uhajanje (angl. direct exfiltration), kjer napadalec vsebino šifriranega sporočila ukrade s pomočjo HTML image značke, vstavljene v ustrezno pripravljeno sporočilo....

Slo-Tech - Pred kratkim je Google izdal iskalnik za osebne računalnike poimenovan Google Desktop Search. Iskalnik išče datoteke po disku, med elektronsko pošto ter v medpomnilniku (cache). Uporabna zadeva? Vsekakor. A kot kaže tudi nevarna.

Eden izmed uporabnikov poštne liste PGP-USERS namreč poroča o eksperimentu, ki dokazuje, da uporaba programa PGP in Google Desktop Search-a ne gresta skupaj.

GDS namreč indeksira in v svoj pomnilnik doda vse dokumente, ki si jih uporabnik ogleda, tudi tiste, ki so zašifrirani (indeksira jih po tem, ko vnesete geslo), enako stori tudi z vsemi spletnimi stranmi, tudi tistimi, ki so zaščitene z geslom in uporabljajo SSL dostop. Celoten indeks pa GDS shrani na znano, nešifrirano in enostavno dostopno lokacijo na trdem disku, ki je seveda lahko dostopna tudi - hekerjem.

Test je potekal takole:
uporabnik je najprej ustvaril datoteko pptf.txt, jo zašifriral s PGP 8.1 in jo popolnoma izbrisal iz račnalnika (z 32-kratnim prehodom); na disku je ostala samo...