セキュリティ研究者は、OpenPGPおよびS / MIMEメール暗号化ツールの重大な欠陥に関する警告を全世界に送信しています。 この脆弱性のコードネームはEFAILであり、攻撃者はすべての送受信メッセージからプレーンテキストコンテンツを抽出できます。

この欠陥が電子メールの暗号化を役に立たなくするという事実は非常に不安です。 残念ながら、EFFは現在、問題を解決するための信頼できる修正またはパッチがないことを確認しました。

十分な数のクライアントに確実にパッチが適用されるまで、PGPで暗号化されたメッセージを送信すると、他のユーザーがそれらを解読するためのエコシステムインセンティブが発生する可能性があります。 使用を継続するリスクのバランスを取るのは難しい場合があり、状況と連絡先の状況によって異なります。

ユーザーは、メール暗号化プラグインを無効にすることをお勧めします

追って通知があるまで、ユーザーは、論文が公開された後、攻撃者が過去の暗号化された電子メールを回復するのを避けるために、電子メール暗号化プラグインを無効にすることを勧められました。

これらのステップは、エクスプロイトの差し迫ったリスクが通過し、より広いコミュニティによって軽減されるまで、一時的な保守的な一時的なギャップとして意図されています。

Outlookでメール暗号化を無効にする方法の詳細については、EFFのガイドをご覧ください。

状況の現在の状態

一部の研究者は、予定より早く欠陥の詳細を開示し始めました。その結果、efail.de Webサイトが公開され、研究論文も公開されました。 両方とも、EFAILの欠陥に関する詳細を示しています。 この脆弱性は、暗号化操作をサポートするための電子メールプラグインに影響することがすでに確認されています。