Falha em programa expõe e-mails criptografados

Pesquisadores alemães descobriram uma grande vulnerabilidade em um popular programa de criptografia de e-mail, o chamado PGP (Pretty Good Privacy), que pode revelar e-mails criptografados atuais e até mesmo e-mails passados ​.

Sebastian Schinzel, professor de ciência da computação na Universidade de Münster, foi quem investigou a falha. Em sua conta pessoal no Twitter, ele explica que a brecha “pode revelar o texto simples de e-mails criptografados”.

Detalhes sobre as vulnerabilidades críticas em criptografia de e-mail PGP/ GPG e S/MIME foram publicadas nessa terça-feira (15). 

Desde seu lançamento em 1991, o PGP tem sido considerado o padrão para mensagens criptografadas, mantendo-se como um dos métodos mais populares para enviar e-mails privados.

No entanto, a saída óbvia a eles veio com a adoção de aplicativos de mensagens que defendem criptografia de ponta a ponta, como o Signal ou o Telegram.

A Electronic Frontier Foundation (EFF), um grupo de direitos digitais sediado em São Francisco, analisou as possíveis falhas e confirmou em um blog que “essas vulnerabilidades representam um risco imediato para aqueles que usam essas ferramentas para comunicação por e-mail, incluindo a exposição potencial de o conteúdo de mensagens passadas “.

Detalhes sobre a vulnerabilidade foram divulgados pelo jornal Suddeutsche Zeitung antes de seu embargo programado.

Como se proteger contra a falha do PGP?

O conselho da EFF e da Schinzel espelha um ao outro: desative quaisquer plug-ins usando PGP, pare de enviar e ler e-mails criptografados com PGP e use outros canais usando criptografia de ponta a ponta, como a Signal, por enquanto.

A EFF publicou tutoriais detalhados sobre como desabilitar a criptografia PGP nos principais clientes de email, como o Outlook e o Apple Mail.

Se você usar o Thunderbird com o Enigmail, o Apple Mail com o GPGTools ou o Outlook com o Gpg4win, a EFF explica passo a passo para desativar temporariamente os plug-ins do PGP.

Acredita-se que as vulnerabilidades existam nos próprios fornecedores e-mails, em vez do protocolo de criptografia PGP.

De acordo com o GNU Privacy Guard (GnuPG), o problema vem de programas de e-mail que não conseguem verificar erros de decodificação corretamente e seguem links em e-mails que incluíam código HTML.

Eles descobriram fornecedores de email que não verificam corretamente os erros de descriptografia e também seguem os links em emails em HTML. Portanto, a vulnerabilidade está nesses e não nos protocolos. Na verdade, o OpenPGP é imune se usado corretamente, enquanto o S/ MIME não possui mitigação implementada.

Werner Koch, principal autor do GnuPG, descreveu a questão como “exagerada” pela EFF em um post de hoje. Ele também observou que não foi contatado diretamente sobre o assunto.

No momento, não há nenhuma correção para a falha, portanto, tomar precauções extras e usar um serviço de mensagens seguro alternativo é a melhor maneira temporária de navegar na situação.