ทีมงานโปรแกรมอ่านอีเมล Thunderbird ปิด บั๊กขอเพิ่มฟีเจอร์หมายเลข 22687 ที่รายงานมาตั้งแต่วันที่ 26 ธันวาคม 1999 เพื่อให้ Thunderbird สามารถเข้ารหัสอีเมลแบบ PGP ได้ในตัว ล่าสุด Thunderbird รวมฟีเจอร์นี้เข้าในตัวในเวอร์ชั่น 78 ทำให้ปิดบั๊กนี้ได้เป็นทางการ
แม้จะเปิดบั๊กมาตั้งแต่ 21 ปีก่อน แต่ที่จริงแล้ว Thunderbird รองรับ PGP ผ่านทางปลั๊กอิน Enigmail มายาวนาน แต่บั๊กนี้เป็นการเรียกร้องให้ Thunderbird เข้ามาซัพพอร์ต PGP โดยตรง จุดเปลี่ยนคือการพัฒนา Thunderbird 78 ที่จะเปลี่ยนระบบปลั๊กอินทำให้ทีมงานตัดสินใจรวมฟีเจอร์นี้เข้ามาโดยตรง
Robert J. Hansen ผู้ดูแลเอกสารของ GnuPG รายงานถึงการโจมตีเซิร์ฟเวอร์กุญแจ (Synchronizing Key Server - SKS) ที่ใช้ค้นหากุญแจสาธารณะสำหรับผู้รับอีเมลปลายทาง ถูกโจมตีโดยมุ่งเป้าไปยังนักพัฒนาบางคนด้วยการโพสใบรับรองกุญแจจำนวนมาก จน OpenPGP ทำงานไม่ได้ หรือทำงานได้ช้า
กระบวนการตรวจสอบกุญแขของ OpenPGP อาศัยการรับรองกันเองของผู้ใช้ โดยเมื่อผู้ใช้คนหนึ่งอ้างตัวว่าเป็นเจ้าของอีเมลและประกาศกุญแจสาธารณะออกมา เขาต้องให้ผู้อื่นมาเซ็นกุญแจรับรองโดยเรียกว่า (certificate signature) โดยตอนนี้มีคนอัพโหลดการเซ็นกุญแจรับรองเหล่านี้จำนวนมาก นับแสนรายการเข้าไปยังเซิร์ฟเวอร์ SKS ทำให้หากไคลเอนต์ซิงก์ข้อมูลลงมาและตรวจสอบอีเมลเหล่านี้ โปรแกรมก็จะค้างไป
ProtonMail ประกาศเพิ่มฟีเจอร์ใหม่ในด้านความปลอดภัยเพิ่มเติมสองอย่าง คือ Address Verification สำหรับยืนยันกุญแจสาธารณะของอีเมลแอดเดรส และรองรับการส่งอีเมลเข้ารหัสแบบ PGP กับอีเมลแอดเดรสอื่นที่ไม่ได้อยู่ในระบบของ ProtonMail
ฟีเจอร์แรกคือ Address Verificationโซลูชั่นเพื่อป้องกันการโจมตีแบบ Man-in-the-Middle คือเมื่อได้รับข้อความจากที่อยู่ติดต่อของ ProtonMail แล้ว และมั่นใจว่ากุญแจที่มาพร้อมอีเมลเป็นกุญแจสาธารณะของคู่สนทนาจริง สามารถกด Trust Public Key สำหรับข้อความนี้ได้ทันที โดยกุญแจสาธารณะนี้จะถูกบันทึกลงระบบที่อยู่ติดต่อแบบเข้ารหัสและเซ็นด้วยลายเซ็นดิจิทัล
เมื่อวานนี้มีรายงานถึง ช่องโหว่ EFAIL ตอนนี้รายละเอียดก็ออกมาแล้ว โดยปัญหาสำคัญคือโปรแกรมเมลและปลั๊กอินสำหรับถอดรหัส PGP นั้นทำงานผิดพลาดที่ไม่ตรวจสอบสถานะการถอดรหัส ประกอบการโปรแกรมเมลเมื่อรับอีเมลเป็น HTML มักจะเรนเดอร์ HTML ทันที
การโจมตี EFAIL อาศัยช่องว่างนี้นำข้อความเข้ารหัสที่อ่านไม่ได้ ไปวางไว้ในอีเมลอีกฉบับ โดยทำเป็น URL ของภาพ ทำให้โปรแกรมอีเมลพยายามเรนเดอร์อีเมลและส่ง request ไปยังเซิร์ฟเวอร์ของแฮกเกอร์
คำแนะนำระหว่างนี้คือผู้ที่ใช้อีเมลเข้ารหัสควรปิดการเรนเดอร์ HTML ในโปรแกรมอีเมล และรอแพตช์จากผู้ผลิตต่อไป
Sebastian Schinzel นักวิจัยความปลอดภัยจาก Münster University of Applied Sciences พบช่องโหว่ความปลอดภัยของระบบ PGP และ S/MIME ที่ใช้เพื่อการส่งอีเมลเข้ารหัสซึ่งเป็นมาตรฐานที่ใช้กันอย่างแพร่หลาย
นักวิจัยที่ค้นพบช่องโหว่เผยว่า ช่องโหว่ที่ค้นพบล่าสุดนี้มีโอกาสที่จะแสดง plaintext ของข้อความเข้ารหัสที่เข้ารหัสแล้วออกมาได้ ซึ่งรวมถึงข้อความเข้ารหัสที่มีการส่งในอดีตด้วย และตอนนี้ยังไม่มีวิธีแก้ปัญหาดังกล่าว
การเข้ารหัสอีเมลด้วย PGP เป็นมาตรฐานกลางที่ใช้งานกันโดยทั่วไป แม้กุญแจสาธารณะจะมีความยาวมาก แต่โดยทั่วไปแล้วเรามักแชร์กุญแจกันแบบย่อเพื่อความสะดวก แต่ในช่วงไม่กี่เดือนที่ผ่านมาเริ่มมีรายงานว่ากุญแจ PGP ของคนดังเริ่มถูกปลอมแปลง
ตัวอย่างคนที่ถูกปลอมแปลงได้แก่ Linus Trovald (กุญแจย่อ 0041 1886กุญแจเต็ม ABAF 11C6 5A29 70B1 30AB E3C4 79BE 3E43 0041 1886)
ปัญหาอย่างหนึ่งอยู่ที่ตัวโปรแกรมเข้ารหัส GPG เองที่สามารถค้นกุญแจเต็มจากกุญแจย่อได้ แต่ในเวอร์ชั่นเก่าๆ กลับไม่แสดงยืนยันกุญแจเต็มก่อนที่รวมเข้าฐานข้อมูล ในเวอร์ชั่นตั้งแต่ปี 2014 ของ GPG แก้ปัญหานี้แล้ว
ตำรวจเนเธอร์แลนด์จับชายอายุ 36 ปีที่เป็นผู้ต้องสงสัยในคดีฟอกเงิน และเขายังเป็นเจ้าของบริษัทที่ขายโทรศัพท์ที่ส่งแต่อีเมลเข้ารหัสได้เท่านั้น โดยบริษัทของเขาเองก็ถูกกล่าวหาว่าให้บริการการสื่อสารกับอาชญากร
โทรศัพท์ที่ผู้ต้องสงสัยผู้นี้ขายมีราคา 1,500 ยูโร หรือประมาณหกหมื่นบาท แต่ไม่สามารถใช้งานอย่างอื่นได้นอกจากอีเมลเท่านั้น โดยอีเมลจะเข้ารหัสด้วยโปรแกรม PGP ที่มีใช้กันโดยทั่วไป
ทางตำรวจเนเธอร์แลนด์ระบุว่า ตอนนี้ได้สำเนาข้อมูลจากเซิร์ฟเวอร์หลายเครื่องในเนเธอร์แลนด์ และอีกเครื่องหนึ่งในแคนาดา ข้อมูลที่ได้ในตอนนี้คือข้อมูลว่าใครส่งอีเมลหาใครบ้าง แต่กำลังพยายามหาถอดรหัสข้อความต่อไป
GitHub ประกาศรองรับการ commit และ tag โค้ดที่ยืนยันด้วย GPG เพิ่มความน่าเชื่อถือให้กับโค้ดว่าไม่ได้ถูกดัดแปลง แม้ว่า GitHub จะถูกแฮกไปก็ตาม (แต่ถ้ากุญแจลับ GPG หลุดอีกก็ช่วยไม่ได้)
หน้าเว็บของ GitHub เองจะแสดงเครื่องหมายยืนยันว่าโค้ดที่ commit ครั้งใดบ้างที่ได้รับการยืนยันด้วย GPG แล้วบ้าง
ความสามารถในการตรวจสอบโค้ดด้วย GPG เป็นความสามารถของ Git มาก่อน เป็นประโยชน์ในกรณีเราไม่ได้ดึงโค้ดจากแหล่งของนักพัฒนาโดยตรง หรือโค้ดที่ต้องระวังการถูกแก้ไขจากภายนอกกว่าปกติ สำหรับคนทั่วไปอาจจะไม่จำเป็นเท่าใดนัก
ที่มา - GitHub
- Read more about GitHub เปิดบริการ commit แบบยืนยันด้วย GPG
- 1 comment
- Log in or register to post comments
เฟซบุ๊กประกาศรองรับการส่งอีเมลถึงผู้ใช้แบบเข้ารหัสทั้งหมดตาม ฟอร์แมต PGP ทำให้อีเมลจากเฟซบุ๊กไม่สามารถอ่านโดยผู้ให้บริการหรือคนร้ายที่ดักฟังระหว่างเซิร์ฟเวอร์ได้อีกต่อไป
หลังสัปดาห์ที่แล้วมีข่าว NSA และ GCHQ ร่วมกัน เจาะเครือข่ายของ Gemalto ผู้ผลิตซิมการ์ดรายใหญ่ของโลก กระบวนการเจาะเครือข่ายก็มีรายละเอียดเพิ่มมา
End-To-End ระบบเข้ารหัสอีเมลจากกูเกิล เปิดตัวไปเมื่อกลางปี ตอนนี้อัพเดตเวอร์ชั่นใหม่แล้วโดยกูเกิลยังยืนยันว่าโครงการนี้ยังอยู่ในระดับอัลฟ่าเท่านั้น แต่ก็มีข้อมูลเพิ่มเติมอีกหลายอย่าง ได้แก่
กูเกิลเปิดตัวโครงการ End-to-end เป็นส่วนเสริมของ Chrome เพื่อเข้ารหัสและถอดรหัสอีเมลที่รับส่งในจีเมล
ตัว End-to-end ทำงานตามมาตรฐาน OpenPGP ( RFC 4880 ) สามารถทำได้ทั้งการสร้างคู่กุญแจ, เข้ารหัส, ถอดรหัส, เซ็นลายเซ็นดิจิตอล, และยืนยันลายเซ็นดิจิตอล โดยรองรับเฉพาะการเข้ารหัสแบบ Elliptic Curve เท่านั้น ( RFC 6637 )