Một cảnh báo quan trọng đối với những người sử dụng các công cụ mã hóa email được sử dụng rộng rãi — PGP và S/MIME — vì mục đích bảo mật. Một nhóm các nhà nghiên cứu bảo mật châu Âu đã đưa ra một cảnh báo về một tập hợp các lỗ hổng trong công cụ PGP và S/MIME. Những lỗ hổng này tiết lộ nội dung email được mã hóa của bạn ở dạng văn bản.

Các lỗ hổng này cũng ảnh hưởng đến các email được mã hóa mà bạn đã gửi trong quá khứ.

Lỗ hổng trong công cụ PGP và S/MIME tiết lộ nội dung email được mã hóa
Cảnh báo lỗ hổng trong công cụ PGP và S/MIME tiết lộ nội dung email được mã hóa

PGP hoặc Pretty Good Privacy, là một chuẩn mã hóa đầu cuối mã nguồn mở được sử dụng để mã hóa email theo cách mà không ai hay thậm chí là công ty, chính phủ hoặc tội phạm mạng có thể tìm cách gián điệp thông tin liên lạc của bạn.

S/MIME, Secure/Multipurpose Internet Mail Extensions, là một công nghệ dựa trên mật mã không đối xứng, cho phép người dùng gửi các email được sign và mã hóa kỹ thuật số.

Sebastian Schinzel, giáo sư bảo mật máy tính tại Đại học Khoa học Ứng dụng Münster, viết trên Twitter để cảnh báo người dùng về vấn đề này nói rằng “hiện không có bản sửa lỗi đáng tin cậy nào cho lỗ hổng này”.

Electronic Frontier Foundation (EFF) cũng đã xác nhận sự tồn tại của các lỗ hổng “không được tiết lộ” và khuyến cáo người dùng gỡ cài đặt các ứng dụng PGP và S/MIME cho đến khi các lỗ hổng được vá.

Tổ chức cho biết trong một bài đăng trên blog: “Tổ chức EFF đã liên lạc với nhóm nghiên cứu và có thể xác nhận rằng những lỗ hổng này gây ra rủi ro ngay lập tức cho người sử dụng những công cụ này để liên lạc qua email, bao gồm cả việc tiết lộ nội dung của các email trong quá khứ.”

“Lời khuyên của chúng tôi đồng thời cũng phản ánh ý kiến ​​của các nhà nghiên cứu là ngay lập tức vô hiệu hóa và/hoặc gỡ cài đặt các công cụ tự động giải mã email được mã hóa của PGP.”

Vì vậy cho đến khi các lỗ hổng trong công cụ PGP và S/MIME được vá, người dùng nên ngừng gửi và đặc biệt là đọc các email được mã hóa của PGP và S/MIME ngay bây giờ và sử dụng các công cụ bảo mật đầu cuối thay thế, chẳng hạn như Signal.

EFF đã cảnh báo người dùng ngay lập tức vô hiệu hóa nếu họ đã cài đặt bất kỳ plugin/công cụ được đề cập nào sau đây để quản lý email được mã hóa:

  • Thunderbird với Enigmail
  • Apple Mail với GPGTools
  • Outlook với Gpg4win

Cần lưu ý là các nhà nghiên cứu đã không tuyên bố rằng các lỗ hổng nằm trong cách thức hoạt động của thuật toán mã hóa; thay vào đó, các vấn đề xuất hiện trong cách thức các công cụ/trình giải mã email hoạt động.

> Giải pháp bảo mật toàn diện dành cho website, đăng ký miễn phí 14-ngày tại đây <