Frage:
Welche Maßnahmen sollte ich als Endbenutzer als Reaktion auf EFAIL ergreifen?
Anders
2018-05-14 18:58:42 UTC
view on stackexchange narkive permalink

Es wird viel über EFAIL gesprochen:

Die EFAIL-Angriffe nutzen Schwachstellen in den OpenPGP- und S / MIME-Standards aus, um den Klartext verschlüsselter E-Mails aufzudecken. Kurz gesagt, EFAIL missbraucht aktiven Inhalt von HTML-E-Mails, z. B. extern geladene Bilder oder Stile, um Klartext über angeforderte URLs zu filtern.

Was sollte ich als Endbenutzer als Antwort tun? dazu? Sollte ich sofort aufhören, verschlüsselte E-Mails zu senden und / oder zu empfangen? Oder vielleicht alle E-Mails? Oder verwenden Sie PGP überhaupt nicht mehr? Gibt es eine schnelle Lösung? Zu installierende Patches? Und wenn ja, Patches zu was? Weitere auszuführende Maßnahmen?

Beachten Sie, dass dies eine Frage ist, was als Endbenutzer zu tun ist. Es geht nicht um das Innenleben der Sicherheitsanfälligkeit oder darum, wie das Problem auf Protokollebene behoben werden kann.

Ja, ich weiß, dass diese Frage weitgehend über den angegebenen Link beantwortet wird.Aber ich dachte, es wäre gut, dieses Problem auch auf dieser Website anzusprechen, da ich vermute, dass großes Interesse daran besteht.
Ich frage mich, ob das Deaktivieren des HTML-Renderings im E-Mail-Client helfen würde.Wenn Sie die Nachricht nur als Klartext anzeigen, werden keine Bilder vom Remote-Server abgerufen, und daher sollte der Exploit nicht funktionieren.
[Ähnliche Frage zu Crypto.SE] (https://crypto.stackexchange.com/questions/59229/is-the-software-that-uses-pgp-broken-or-is-it-pgp-itself)
@MartinVegter, wundert sich ebenfalls (und veröffentlicht daher als Kommentar keine Antwort), aber ich sollte denken, dass das Deaktivieren der Option "Remote-Inhalt in Nachrichten laden" ausreichen sollte.(Das erlaubt weiterhin das Rendern von HTML, aber alle remote gehosteten Bilder bleiben leer und werden nicht abgerufen.)
Die eigentliche Sicherheitslücke liegt in der App, die sowohl Klartext als auch Chiffretext gleichzeitig verarbeitet ...
@Wildcard - Wo ist diese Einstellung "Remote-Inhalt in Nachrichten laden"?
@MartinVegter, so heißt es in Apple Mail.Thunderbird hat die Einstellung unter einem anderen Namen;Ich bin auf dem Handy, kann es aber später nachschlagen.Was ist Ihr E-Mail-Client?
Das Deaktivieren des HTML-Renderings reicht möglicherweise nicht aus, wenn Vorlademechanismen vorhanden sind.HTML-Mail wird ohnehin nur für Marketingzwecke verwendet. Am besten verzichten Sie auf jeglichen Support und kehren zu gutem, altem Klartext zurück.Ich lächle über die Banalität dieses wunderbar effektiven Hacks und die Tausenden von Sicherheitsexperten, die den Wald vor lauter Bäumen nicht sehen konnten.
Fünf antworten:
Craig Hicks
2018-05-15 00:35:29 UTC
view on stackexchange narkive permalink

Insbesondere ist PGP nicht das Problem. Das Problem liegt in den Mail-Handling-Apps in Ihrem Browser, für die Sie Ihre PGP-Schlüssel verwenden dürfen. Diese Browser-Apps entschlüsseln die Nachricht wie sie sollten, aber in dieser Nachricht befindet sich zusätzlich zu Ihrem Geheimnis eine Trojaner-URL, die eine Angreifer-Site ist. Ihre Browser-App hat dumm versucht, eine Verbindung zu der URL herzustellen, an die Ihr Geheimnis am Ende angehängt ist.

Für die meisten Menschen ist die praktischste Methode (über Ihren Link):

Kurzfristig: Deaktivieren Sie das HTML-Rendering. Die EFAIL-Angriffe missbrauchen aktive Inhalte, hauptsächlich in Form von HTML-Bildern, -Stilen usw. Durch Deaktivieren der Darstellung eingehender HTML-E-Mails in Ihrem E-Mail-Client wird die bekannteste Art des Angriffs auf EFAIL geschlossen. Beachten Sie, dass es in E-Mail-Clients andere mögliche Rückkanäle gibt, die sich nicht auf HTML beziehen, diese jedoch schwieriger auszunutzen sind.

Dann wird jede URL in der entschlüsselten Nachricht als Text angezeigt, einschließlich des Trojaners URL. Mit ziemlicher Sicherheit könnten Sie sich die URL ansehen und wissen, dass etwas nicht stimmt. Wenn nichts falsch war und Ihr E-Mail-Programm über eine Schaltfläche verfügt, mit der Sie die HTML-Ansicht für diese einzelne E-Mail umschalten können, können Sie die E-Mail sicher lesen.

Die andere vorgeschlagene Methode:

Kurzfristig: Keine Entschlüsselung im E-Mail-Client. Der beste Weg, um EFAIL-Angriffe zu verhindern, besteht darin, S / MIME- oder PGP-E-Mails nur in einer separaten Anwendung außerhalb Ihres E-Mail-Clients zu entschlüsseln. Entfernen Sie zunächst Ihre privaten S / MIME- und PGP-Schlüssel von Ihrem E-Mail-Client und entschlüsseln Sie dann eingehende verschlüsselte E-Mails, indem Sie & kopieren und den Chiffretext in eine separate Anwendung einfügen, die die Entschlüsselung für Sie vornimmt. Auf diese Weise können die E-Mail-Clients keine Exfiltrationskanäle öffnen. Dies ist derzeit die sicherste Option mit dem Nachteil, dass der Prozess stärker involviert wird.

könnte schwieriger sein. Auf einem Handy könnte es sehr sehr schwierig sein. Auf einem Laptop oder Desktop hängt es davon ab, wie einfach es wäre, die Nicht-Browser-App einzurichten oder von jemandem für Sie ausführen zu lassen. Die umständliche Zeit zum Ausschneiden und Einfügen hängt davon ab, wie viele verschlüsselte Nachrichten Sie verarbeiten müssen.

Sie sollten auch darauf achten, dass die Nicht-Browser-App nicht automatisch versucht, die URL zu kontaktieren.

BEARBEITEN: Das Hinzufügen von Anführungszeichen zur Nachricht schützt Ihre gesendeten verschlüsselten E-Mails nicht. Vielen Dank an @Anders für den Hinweis auf die Referenz.

"Mail-Handling-Apps in Ihrem Browser" - ist das nicht rückwärts?Ich verstehe die Sicherheitslücke im "Browser" (HTML-Parser) in E-Mail-Apps / Clients.
Ein Beispiel: Firefox ist ein Browser und Thunderbird ist eine Client-App, die vom Benutzer in Firefox installiert wird.Immer noch keine PGP-Fähigkeit.Anschließend wird das Enigmail-Add-On auf Thunderbird installiert.Enigmail enthält den Code, der die Entschlüsselung durchführt, aber Thunderbird scannt das entschlüsselte Ergebnis (wie eine normale E-Mail), findet die URLs und versucht automatisch, sie anzuzeigen.Ich würde also sagen, dass der von Thunderbird aufgerufene Scan-Code (HTML-Parser klingt richtig) das eigentliche Leck verursacht.Wenn ja, dann muss Thunderbird geändert werden, um die entschlüsselten Daten zu sandboxen.
Andere Browser mit anderen E-Mail-Clients (vergleichbar mit Thunderbird) verfügen möglicherweise über eine integrierte PGP-Verarbeitung, für die kein Add-On erforderlich ist.Die erforderliche Änderung ist jedoch dieselbe: Sandbox das entschlüsselte Ergebnis.
@CraigHicks Was zum Teufel?Thunderbird ist * keine * Client-App, die in Firefox ausgeführt wird (sie haben zumindest irgendwann das xulrunner-Framework gemeinsam genutzt).Das macht keinen Sinn.Das Ergebnis wird auch nicht automatisch nach URLs oder Ähnlichem durchsucht.Es zeigt den eingebetteten HTML-Code in einem eingebetteten Browser an.
Fehler beim Crypto Engineering in OpenPGP und S / MIME - und im Allgemeinen inkohärente Sicherheitsziele - sind hier absolut Teil des Problems.Moderne Verschlüsselungsschemata mit öffentlichem Schlüssel lassen die selektive Änderung, die efail zum Auslösen der Exfiltrationskanäle verwendet, nicht zu.Ein Fälscher kann nur Nachrichten im Großhandel ersetzen.
@JonasWielicki - Du hast recht.Thunderbird ist ein> Desktop <-E-Mail-Client, kein Browser-E-Mail-Client.Thunderbird sollte das entschlüsselte Ergebnis sandboxen und nach URLs suchen oder auf andere Weise vergiften, bevor "Der eingebettete HTML-Code in einem eingebetteten Browser-ähnlichen Objekt angezeigt wird".
@SqueamishOssifrage - Sie haben Recht.Und der Link des OP gibt dies als notwendige langfristige Strategie an: "" "Langfristig: Aktualisierung der OpenPGP- und S / MIME-Standards. Die EFAIL-Angriffe nutzen Fehler und undefiniertes Verhalten in den MIME-, S / MIME- und OpenPGP-Standards ausStandards müssen aktualisiert werden, was einige Zeit dauern wird. "" "
In Bezug auf Ihre Bearbeitung spricht [efail.de] (https://efail.de/#no-quotes) dies an und erklärt, warum dies keine Lösung ist.
@CraigHicks Der Grund, warum ich den obigen Kommentar abgegeben habe, ist, dass es irreführend ist zu sagen: „PGP ist nicht das Problem.Das Problem liegt bei den Mail-Handling-Apps… ', wenn es ein klares Problem in PGP gibt (sein Verschlüsselungsmechanismus mit öffentlichem Schlüssel liefert kein IND-CCA2; ebenso S / MIME, das noch schlimmer verletzt ist), selbst wenn _die besondere Manifestation_Dieses Problem tritt nur in Kombination mit nachgeschalteten Fehlfunktionen in den Mailern auf.
@SqueamishOssifrage - Es scheint mir, dass die Frage, ob OpenPGP IND-CCA2 erfüllt oder nicht, orthogonal zur Existenz von EFAIL ist.EFAIL verlässt sich nicht auf IND-CCA2, sondern darauf, dass ein Orakel kostenlos übergeben wird - dies ist der "kostenlose Dienst", sofern die fehlerhaften E-Mail-Bearbeitungs-Apps verfügbar sind.Es ist wahr, dass, wenn OpenPGP nicht IND-CCA1-sicher ist, alle Schlüssel (Schlüssel, die durch die versehentliche Bereitstellung des Orakels missbraucht wurden) kompromittiert werden.Wenn OpenPGP IND-CCA2-sicher ist, sind diese Schlüssel sicher, sobald der Oracle-Dienst heruntergefahren wird.(Fortsetzung ...)
(... Fortsetzung).Die Forschung, die EFAIL aufgedeckt hat, behandelt das Problem von IND-CCA2 nicht, sondern zeigt nur das Vorhandensein eines Orakels.Und um mich zu wiederholen, dieses Orakel ist die Schuld der Mail-Client-Software.Referenz zur Definition von IND-CCA * = https://en.wikipedia.org/wiki/Ciphertext_indistinguishability#Indistinguishability_under_chosen_ciphertext_attack/adaptive_chosen_ciphertext_attack_(IND-CCA1,_IND-CCA2)
@CraigHicks Der Angriff wandelt einen gültigen Chiffretext in einen verwandten gültigen Chiffretext um.Dies ist ein Lehrbuchbeispiel für das Brechen von NM-CCA2, das IND-CCA2 entspricht.Es gibt ein anderes Problem, nämlich dass gpg auch mit dem Drucken der Ausgabe beginnt, bevor der MDC überprüft wird.Dies ist ein Fehler in gpg ("Feature", das zum Streamen der Entschlüsselung von Multi-Terabyte-Dateien missbraucht werden kann) und ein Fehler im OpenPGP-Protokoll, der ein solches Verhalten nicht verbietet.Mein Punkt ist nicht, dass Mailer nicht tadellos sind;Mein Punkt ist, dass es überall systemisch kaputt ist und PGP ein Teil des Problems ist.
@SqueamishOssifrage - Ich hätte auch beachten sollen, dass wenn OpenPGP nicht IND-CCA1-sicher ist, nicht nur die missbrauchten Schlüssel nicht gut sind, sondern alle früheren Nachrichten, die nicht einmal an das Orakel weitergeleitet wurden, als sie verfügbar waren, jetzt entschlüsselt werden könnenoffline. Ich glaube, die allgemeine Annahme ist, dass OpenPGP mindestens IND-CCA1-sicher ist.
@CraigHicks Das Brechen von IND-CCA1 impliziert nichts über das Wiederherstellen von Schlüsseln.Hier sind die Standarddefinitionen und Beziehungen zwischen ihnen: http://www.di.ens.fr/~pointche/Documents/Papers/1998_crypto.pdf
Lassen Sie uns [diese Diskussion im Chat fortsetzen] (https://chat.stackexchange.com/rooms/77538/discussion-between-craig-hicks-and-squeamish-ossifrage).
Sagt die zweite Strategie im Wesentlichen dasselbe wie die erste?Das heißt, die Entschlüsselung von einem anderen Programm durchführen zu lassen, das vermutlich kein HTML rendert?Nur so kann ich mir vorstellen, dass es funktioniert, aber da es sich um dieselbe grundlegende Lösung handelt, bin ich mir nicht sicher, ob ich es richtig verstehe.Ich denke, es ist sinnvoll, wenn nur eine kleine Anzahl von E-Mails PGP verwendet, da HTML in Nicht-PGP-E-Mails nichts weniger sicher macht als es bereits ist.
@Kat - Die erste Strategie besteht darin, HTML für alle E-Mails zu deaktivieren, ob verschlüsselt oder nicht.Fast jeder Mail-Agent hat diese Option und deshalb wird sie vorgeschlagen.In diesem Fall würde der Leser die angreifende URL als Teil der Nachricht lesen, aber den Fehler nicht auslösen.--- Die zweite Strategie ist das Deaktivieren der Entschlüsselung.Dann wird die angezeigte Nachricht immer noch verschlüsselt, sodass die URL nicht enthalten ist.Der Leser muss diese noch verschlüsselte Nachricht jedoch kopieren und einfügen (oder herunterladen) und auf andere Weise entschlüsseln, um sie zu lesen.
Squeamish Ossifrage
2018-05-15 08:24:44 UTC
view on stackexchange narkive permalink

    Deaktiviert das HTML-Rendering. (Nicht HTML senden : HTML rendern . Es spielt keine Rolle, welche E-Mail Sie senden. Entscheidend ist , was Ihr Mailer beim Empfang der E-Mail des Gegners tut .)

  1. Konfigurieren Sie Ihren Mailer so, dass der automatische PGP-Schlüssel-Download, die S / MIME-OCSP-Überprüfung, der S / MIME-CRL-Download und der S / MIME-Zwischen-CA-Download deaktiviert werden. Erwägen Sie stattdessen, Ihre Schlüsselringe und Zertifikatspeicher regelmäßig zu aktualisieren. Hier gibt es einen Kompromiss: Sie können sich in den Fuß schießen, indem Sie widerrufene Zertifikate nicht bemerken, und Sie können sich mit Stapeln verwandter Downloads dekanonymisieren, aber der automatische Schlüssel-Download Ihres Mailers oder der OCSP-Verifizierer oder der CRL-Downloader können Sie in den Fuß schießen.

  2. Deaktivieren Sie möglicherweise die automatische Entschlüsselung in Ihrem Mailer. Hier gibt es einen Kompromiss: Sie können sich in den Fuß schießen, indem Sie die Kommunikationsbarriere so hoch anheben, dass Sie es nicht mehr tun möchten, aber die automatische Entschlüsselung Ihres Mailers kann Sie in den Fuß schießen.

  3. Befolgen Sie die thegrugq-Anleitung zur Verwendung von PGP, wenn Sie PGP zur Verteidigung gegen ein ernstes Bedrohungsmodell verwenden müssen und bereit sind, die Befehlszeile gpg zu verwenden Tool mit all dem mentalen Overhead, der impliziert. (Lesen Sie die OpenSSL-Manpages, wenn Sie S / MIME verwenden müssen, aber erwarten Sie nicht, dass das OpenSSL-Befehlszeilenprogramm einer genauen Prüfung unterzogen wird…)

  4. Wenn Sie jemanden kennen, der verbunden ist Unterstützen Sie bei der OpenPGP- oder S / MIME-Entwicklung ihre Bemühungen, moderne Kryptografietechniken einzusetzen, und formulieren Sie sinnvolle Sicherheitsziele in realen Anwendungen wie Mailern und Paketüberprüfung, nicht nur im Befehlszeilentool gpg . (Schreien Sie nicht in den Hacker-Nachrichten, da die Menschheit ihre HN-Heißluftquote bereits überschritten hat.)

  5. Signal verwenden.

  6. Weitere Details finden Sie unter crypto.se.

    7. ol>
Können Sie erklären, was # 2 mit Efail zu tun hat?
@Bergi Es gibt verschiedene Exfiltrationskanäle.Wenn der Angreifer eine teilweise bekannte Nachricht bearbeitet, um einen unbekannten Teil - beispielsweise die Bytes "0a 1b 2c 3d" - an die Position einer OpenPGP-Schlüssel-ID in der Signatur zu setzen, kann dies möglicherweise dazu führen, dass Ihr Mailer dies tutLaden Sie `http: //pool.sks-keyservers.net/pks/lookup? search = 0x0a1b2c3d & op = get` herunter.Dies gilt ähnlich für S / MIME OCSP-, CRL- und CA-URLs.
"Sie können sich in den Fuß schießen, indem Sie die Kommunikationsbarriere so hoch anheben, dass Sie es nicht mehr tun möchten" - ich würde das einen Gewinn nennen, wenn es bedeutet, Outlook nicht mehr zu öffnen.
Tom K.
2018-05-15 13:08:32 UTC
view on stackexchange narkive permalink

Neben dem Deaktivieren des HTML-Renderings gibt es noch eine andere Lösung, die Sie dennoch sollten.

Dies ist eine Liste der betroffenen Clients und Webmailer 1 sup>:

List of affected clients, webapps and webmailers

Die Der Efail-Angriff in seiner aktuellen Form beruht in erster Linie auf einer Client-Sicherheitslücke. Wenn Sie einen der betroffenen Clients verwenden, sollten Sie vorerst darüber nachdenken, zu einem anderen zu wechseln, obwohl dies auf lange Sicht möglicherweise keine Lösung darstellt. Halten Sie auch Ihren Client und Ihr S / MIME- und / oder PGP-Plugin auf dem neuesten Stand. Angeblich mildert Enigmail 2.0 bereits Efail. 1 sup>

{1} https://efail.de/efail-attack-paper.pdf sup>
{2} https://www.heise.de/newsticker/meldung/Efail-Was-Sie-jetzt-beachten-muessen-um-sicher-E-Mails- zu-verschicken-4048988.html sup>

Sind alle Clients / Webmailer in dieser Liste betroffen, oder sollte ich mir die Farben ansehen und wenn ja, in welchen Spalten?
Unter der Liste finden Sie eine Erläuterung der vier verwendeten Symbole.Grün bedeutet, dass der Kunde nicht betroffen ist.Rot bedeutet, dass der Client ohne Benutzerinteraktion betroffen ist.
Als Beispiel hat "Evolution" ein Rot und drei Grün.Betroffen oder nicht?Ist die S / MIME-Spalte relevant oder sollte nur PGP betrachtet werden?(Ich weiß es ehrlich gesagt nicht ...)
1. Im Allgemeinen: S / MIME und PGP sind zwei verschiedene Standards für die Verschlüsselung mit öffentlichem Schlüssel (PKE).Sie können entweder eine oder beide (oder keine) verwenden.Einige Clients bieten für beide keine Schnittstellen an, daher muss ein Endbenutzer Plugins installieren.2. Ihr spezifisches Beispiel: Evolution scheint sowohl S / MIME als auch PGP zu unterstützen.Darüber hinaus scheint die Implementierung für S / MIME vom Efail-Angriff betroffen zu sein, die PGP-Implementierung jedoch nicht.Wenn Sie PGP zur Verschlüsselung verwenden und Evolution als Client verwenden, sind Sie - soweit wir jetzt wissen - nicht anfällig für den Efail-Angriff.Wenn Sie S / MIME und Evolution verwenden, sind Sie es.
ste-fu
2018-05-14 19:34:15 UTC
view on stackexchange narkive permalink

Derzeit wird empfohlen, die automatische Entschlüsselung der E-Mail in Ihrem E-Mail-Client zu vermeiden. In den meisten Fällen bedeutet dies, das entsprechende Plugin zu deinstallieren. Anschließend müssen Sie den verschlüsselten Text in eine separate Anwendung kopieren, um ihn anzuzeigen.

Sie sollten weiterhin in der Lage sein, verschlüsselte E-Mails zu senden, vorausgesetzt, der Empfänger trifft die entsprechenden Vorsichtsmaßnahmen, obwohl dies wahrscheinlich die Verwendung des Textes bedeuten würde problematische Plugins.

Laut Martin Vetgers Kommentar kann das Deaktivieren des automatischen HTML-Renderings den Angriff ebenfalls weitgehend abschwächen, obwohl die Forscher auch sagten, dass andere Kanäle verfügbar seien, die mit mehr Arbeit ausgenutzt werden könnten.

Was dies für Sie als Endbenutzer bedeutet, ist sehr unterschiedlich.

Um von diesem Exploit zu profitieren, muss der Angreifer in der Lage sein, die E-Mail-Nachricht während der Übertragung zu ändern oder eine E-Mail erneut zu senden dass sie zuvor erfasst haben. Natürlich können dies mehrere Nationalstaaten oder Ihr Arbeitgeber tun, aber ich vermute, es ist unwahrscheinlich, dass Sie viele Kriminelle finden, die einen zwielichtigen WLAN-Hotspot betreiben, in der Hoffnung, vertrauliche persönliche Informationen aus Ihren PGP-E-Mails abzurufen.

Wenn ja Nur auf Privatsphäre bedacht, dann könnten Sie wahrscheinlich einfach weitermachen. Die E-Mail wird weiterhin auf dem Mailserver verschlüsselt, und GCHQ / NSA usw. können sie möglicherweise abrufen, aber die Strafverfolgung kann sie nicht gegen Sie verwenden.

Sie könnten versuchen, die Firewall-Regeln einzuschränken Ihr Computer auch, so dass der Mail-Client nur an 1 oder 2 Ports kommunizieren kann. Das würde den HTML-Vektor vollständig blockieren und möglicherweise viele andere Wege für die Exfiltration abschneiden.

Wenn Leben auf dem Spiel stehen, ist es am besten, ihn aufzugeben ...

+1 für die Erwähnung der Option, den E-Mail-Client über Firewall-Regeln zu blockieren.
Anders
2018-05-15 16:53:32 UTC
view on stackexchange narkive permalink

Kurzfristige Korrekturen

Sie können zwischen zwei kurzfristigen Korrekturen wählen:

  1. Deaktivieren Sie das HTML-Rendering in Ihrem E-Mail-Client. (Beachten Sie, dass HTML gerendert wird, dh angezeigt und nicht gesendet .)
  2. Beenden Sie die Entschlüsselung von E-Mails in Ihrem E-Mail-Client (z. B. durch Deaktivieren des PGP) Plugin) und kopieren Sie stattdessen die verschlüsselten Daten in ein separates Programm, um die Entschlüsselung durchzuführen.
    3. ol>

    Auf der EFAIL-Webseite wird auf mögliche Möglichkeiten zum Exfiltrieren von Daten ohne HTML verwiesen Daher ist es möglicherweise nicht ganz sicher, nur Nummer 1 zu tun. Das ist wahrscheinlich der Grund, warum EFF auch # 2 empfiehlt. Obwohl # 2 weniger praktisch ist, ist es wahrscheinlich sicherer.

    Updates installieren

    Da die Sicherheitsanfälligkeit in der Interaktion von E-Mail-Clients mit PGP liegt, sollten Sie Ihren E-Mail-Client aktualisieren und alle Plugins dazu. Wenn das Problem in Ihrem E-Mail-Client behoben ist, können Sie mit den kurzfristigen Maßnahmen aufhören. Sowohl Nr. 1 als auch Nr. 2 sind jedoch auch ohne EFAIL angemessene Sicherheitsvorkehrungen. Wenn Sie sich also angewöhnt haben, sie zu verwenden, können Sie genauso gut fortfahren.

    OpenPGP oder eine seiner Implementierungen sind dies nicht von Natur aus defekt. Obwohl Sie Ihre Software immer auf dem neuesten Stand halten sollten, müssen Sie sie aus diesem Grund nicht speziell aktualisieren. Sie müssen auch nicht aufhören, sie zu verwenden.

    Denken Sie an die anderen Teilnehmer

    Da sowohl der Absender als auch alle Empfänger E-Mails entschlüsseln können, kann der EFAIL-Angriff auf jeden von ihnen gerichtet werden diese. Selbst wenn Sie die oben genannten Vorsichtsmaßnahmen treffen, werden die von Ihnen gesendeten und empfangenen Nachrichten möglicherweise immer noch entschlüsselt, wenn die Personen, mit denen Sie kommunizieren, weniger umsichtig sind.

    Vorerst sollten Sie dies vor der Verwendung berücksichtigen diese Tools.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 4.0-Lizenz, unter der er vertrieben wird.
Loading...