Onnodige paniek over PGP (de ‘Efail-files’)

Over PGP wordt veel onzin verkocht. Letterlijk en figuurlijk. Deze week veel paniek over een bericht van ‘belangenorganisatie’ Efail. PGP is – mits je een betrouwbare aanbieder hebt, en daar zijn er genoeg van – zo veilig als de gebruiker zelf. Je kunt het een beetje vergelijken met een gewone inbraak of diefstal. Als je al je contante geld voor een open raam midden op tafel legt en de deur open laat, ook als er niemand thuis is, maak je het een inbreker gemakkelijk. Je kunt het geld ook in een kluis leggen en die begraven onder een vijver met krokodillen in de tuin, met een paar bloedhonden eromheen. 

Op de site van de Securegroup – hadden we ‘t hier eerder over, is die waar advocaat Sanne Schuurman mee werkt – staat een bericht over Efail.

“Een groep Europese onderzoekers zou een reeks kwetsbaarheden hebben gevonden in PGP en S / MIME. We moeten een paar feiten rechtzetten:

PGP is niet gekraakt. Slechts één type PGP-e-mails is kwetsbaar, niet die van de Securegroup, die gebruikt geen S / MIME. Schakel PGP niet uit, het is nog steeds veilig.

Om het beveiligingslek te kunnen misbruiken, moet een aanvaller een e-mail sturen met een bijlage. De Securegroup (en ik neem aan dat dit ook geldt voor andere aanbieders) ondersteunt geen ingesloten externe inhoud.”

Er is wel een probleem, maar dat geldt dus alleen voor PGP-verkeer waarbij wel gebruik wordt gemaakt van bijlagen. Volgens de Securegroup overdrijft Efail de omvang van het probleem. “E-mailgebruikers zijn nog steeds veel veiliger met PGP. Gebruikers moeten in geen geval PGP uitschakelen, maar u moet altijd het automatisch downloaden van externe inhoud uitschakelen.”

Vorig bericht, over de telefoons waar Sanne Schuurman mee werkt staat hier

 

4 Reacties

  1. Dirk
    16 mei 2018 - 09:22

    ”Als je al je contante geld voor een open raam midden op tafel legt en de deur open laat, ook als er niemand thuis is, maak je het een inbreker gemakkelijk”. Wanneer de deur openstaat kan het nooit een inbraak zijn, dan is het een insluiping, gedaan door een insluiper.

    Reply
    • Michel
      16 mei 2018 - 16:56

      Die insluiper kan nog steeds een inbreker zijn als we dan toch bijdehand bezig zijn.

      Reply
  2. André
    16 mei 2018 - 23:56

    Ik snap dat het handel is, maar toch ook wel dom om geld uit te geven aan een PGP telefoon. \’Signal\’ is gratis, verdomd goed beveiligd.. wijzen securitu-audits iedere keer weer uit.

    Reply
    • pietje
      19 mei 2018 - 15:19

      Signal en dergelijke zorgen er zeker voor dat een MITM attack zinloos is maar verder doet het niks. Fysieke toegang tot de telefoon resulteert vrijwel altijd in compromised messages.

      Reply

Reageer

Het e-mailadres wordt niet gepubliceerd.