web-dev-qa-db-ja.com

PGP / MIMEとPGP / InlineはEFAILの影響を等しく受けましたか?

私は この質問 これらの2つのプロトコルのうちどちらがより安全であるかについて見ました。質問は2016年のものでしたが、Efailは2017年後半に発見されました。一部の電子メールプログラムは影響を受け、他のプログラムは影響を受けなかったと理解しています。平文が何らかの形でメッセージに潜入しましたが、pgpは決して脅威にさらされていませんでした。 Efail攻撃の影響を受けたのがPGP/MIMEとPGP/Inlineの両方の暗号化されたメールであるかどうか、そして将来そのような攻撃に対する脆弱性が低いと言われる可能性があるかどうかを知りたいと思います。

1
cardamom

Efailは、使用されるプロトコル(PGPまたはS/MIMEのいずれかの形式)に依存しません。復号化された後、クライアントがメッセージ本文内のさまざまなブロックをどのように処理するかが問題になります。

したがって、電子メールクライアントに統合されたものではなく、外部プログラムにカットアンドペーストしてインラインPGPを使用する場合は、安全です。原則として、PGP/MIMEまたはS/MIME暗号化ブロックを使用して、それらを電子メールから抽出し、外部の復号化プログラムを介して実行することもできます。これは、EFailからも安全です。インラインPGPの場合ほど一般的な使用法ではありません。

PGPまたはS/MIMEのサポートが組み込まれた電子メールクライアントを使用している場合は、クライアントがメッセージを表示する方法がすべてです。画像を表示したり、スクリプトを読み込んだり、メッセージ内のブロックを相互にサンドボックス化しない場合は、使用されている暗号化された電子メールシステムに関係なく、Efailが発生する可能性があります。

現在、特定のクライアントは、暗号化プロトコルに応じてメッセージの処理方法が異なる可能性があるため、脆弱であるか、プロトコルに依存していませんが、それはそのクライアントのプロパティであり、プロトコルのプロパティではありません。

1
smithkm