พบช่องโหว่บน PGP และ S/MIME เสี่ยงถูกแอบอ่านเมลที่เข้ารหัส

Sebastian Schinzel อาจารย์ด้านความมั่นคงปลอดภัยระบบคอมพิวเตอร์จาก Münster University of Applied Sciences ออกมาแจ้งเตือนถึงช่องโหว่ความรุนแรงสูง PGP และ S/MIME Encryption Tools เสี่ยงถูกลอบอ่านอีเมลที่เข้ารหัส แม้แต่อีเมลที่เคยส่งไปแล้วในอดีตก็ไม่เว้น

Credit: Chaliya/ShutterStock.com

PGP หรือ Pretty Good Privacy เป็นมาตรฐานการเข้ารหัสข้อมูลแบบ End-to-end แบบ Open-source สำหรับใช้เข้ารหัสอีเมล ซึ่งช่วยให้บุคคลที่สาม ไม่ว่าจะเป็นคนในบริษัท แฮ็กเกอร์ หรือแม้แต่หน่วยงานรัฐก็ไม่สามารถดักฟังข้อมูลในอีเมลได้ ส่วน S/MIME หรือ Secure/Multipurpose Intenet Mail Extensions เป็นเทคโนโลยีวิทยาการรหัสลับแบบ Asymmetric ซึ่งช่วยให้ผู้ใช้สามารถส่งอีเมลแบบเข้ารหัสและลงลายเซ็นต์ดิจิทัลได้

Schinzel ได้ทวีตข้อความเตือนผู้ใช้อีเมล ระบุว่า พบช่องโหว่บน PGP และ S/MIME ซึ่งช่วยเปิดเผยข้อความแบบ Plaintext จากอีเมลที่ถูกเข้ารหัสได้ ไม่เว้นแม้แต่อีเมลที่เคยถูกส่งไปแล้วในอดีต ที่สำคัญคือ จนถึงตอนนี้ยังไม่มีการแก้ไขเพื่ออุดช่องโหว่ดังกล่าวอย่างแท้จริง

Electronic Frontier Foundation (EFF) ได้ออกมายืนยันถึงช่องโหว่ที่ Schinzel ค้นพบและแนะนำให้ผู้ใช้หยุดใช้โปรแกรม PGP และ S/MIME ไม่ว่าจะเป็น Thunderbird with Enigmail, Apple Mail with GPGTools หรือ Outlook with Gpg4win จนกว่าช่องโหว่จะถูกแพตช์ หรือใช้โปรแกรมอื่นในการเข้ารหัสข้อมูลแทน

จนถึงตอนนี้ รายละเอียดเชิงเทคนิคของช่องโหว่ดังกล่าวยังคงไม่ถูกเปิดเผย จึงยังไม่ทราบแน่ชัดว่ามีสาเหตุมาจากอัลกอริธึมที่ใช้เข้ารหัสข้อมูล หรือการทำงานของโปรแกรมกันแน่

ที่มา: https://thehackernews.com/2018/05/pgp-smime-email-encryption.html

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Tuskira เปิดตัวพร้อมทุน 28.5 ล้านดอลลาร์ ยกระดับความมั่นคงปลอดภัยไซเบอร์ด้วย AI

สตาร์ทอัพด้านการตรวจจับภัยคุกคาม Tuskira เปิดตัวพร้อมระดมทุน 28.5 ล้านดอลลาร์จากกลุ่มนักลงทุนที่นำโดย Intel Capital และ SYN Ventures มุ่งเร่งนวัตกรรม AI การผสานระบบ และยกระดับการรักษาความมั่นคงปลอดภัยไซเบอร์ขององค์กรด้วยกลยุทธ์เชิงรุกที่รวมเครื่องมือเข้าด้วยกันและลดความเสี่ยงแบบเรียลไทม์

Sumo Logic เปิดตัว Mo Copilot พลิกโฉม DevSecOps ด้วย AI

ในงาน Re:Invent ของ Amazon Web Services บริษัท Sumo Logic ได้ประกาศเปิดตัว Mo Copilot เครื่องมือสำหรับ DevSecOps ที่ช่วยลดเวลาตอบสนองในการแก้ปัญหาสำคัญด้วยการใช้ …