Для работы проектов iXBT.com нужны файлы cookie и сервисы аналитики.
Продолжая посещать сайты проектов вы соглашаетесь с нашей
Политикой в отношении файлов cookie
Разработчики тут неправы.
Они пишут: «если ваш почтовый клиент принимает это предупреждение во внимание и поступает сообразно — а именно, не показывает вам письма»
Однако стандарт OpenPGP не регламентирует поведение клиента при получении такого предупреждения, поэтому заявлять, что это баг клиента — некорректно, это именно недоработка в стандарте.
Впрочем, даже если ваш клиент действует так, как считают правильным разработчики, утверждение, что «вы полностью защищены от атаки Efail» — вводит в заблуждение.
Потому что если вы от этой атаки защищены, совершенно не факт, что от неё защищён адресат ваших писем, а значит, содержание ваших писем может оказаться незащищённым.
Поскольку цель шифрования именно в защите содержания, нельзя говорить, что вы защищены.
И тут-то шум вполне полезен: чем он больше, тем больше вероятность, что ваши адресаты озаботятся проблемой, о которой раньше и не думали.
Есть большая разница между тем, когда ты отправляешь письмо, зная, что оно не защищено, и когда ты отправляешь письмо, ошибочно предполагая его защищённость. Вот чтобы защитить уже отправленную почту нужно отключить шифрование в клиенте.
А если тебе нужно защитить новые письма — ничто не мешает тебе шифровать их отдельно, не в клиенте.
Нет, и ключ не компрометируется даже.
Красивая атака, в общем =)
Но необходимо пока отключить шифрование, чтобы защитить уже отправленные письма, которые могли быть перехвачены.
Негодяю не нужно иметь доступ к твоему серверу или почтовому ящику. А если шифрование у тебя включено — ему достаточно перехватить зашифрованные письма, и просто отправить их обратно тебе же в составе своего html-письма, чтобы получить расшифрованный текст.
PGP — не стандарт, но вот OpenPGP — стандарт, и именно из-за неопределённости в этом стандарте, (конкретно — обработка письма, не прошедшего проверку целостности) возникла проблема.
Подробности уже опубликовали.
Вкратце, если у негодяя есть перехваченное зашифрованное тобой письмо, он может зашифрованный текст из него добавить в своё, хитро сформированное письмо, отправить такое письмо тебе, и твой почтовый клиент обработает его так, что негодяй получит ответное письмо с расшифрованным текстом.
GTX 980 — 23990 на момент презентации
GTX 1080 — 54990 (+129%)
GTX 2080 — 63990 (+16%)
GTX 980 Ti — 39990
GTX 1080 Ti — 52990 (+32%)
GTX 2080 Ti — 95990 (+81%)
Из этого можно сделать какие-то выводы?
Они пишут: «если ваш почтовый клиент принимает это предупреждение во внимание и поступает сообразно — а именно, не показывает вам письма»
Однако стандарт OpenPGP не регламентирует поведение клиента при получении такого предупреждения, поэтому заявлять, что это баг клиента — некорректно, это именно недоработка в стандарте.
Впрочем, даже если ваш клиент действует так, как считают правильным разработчики, утверждение, что «вы полностью защищены от атаки Efail» — вводит в заблуждение.
Потому что если вы от этой атаки защищены, совершенно не факт, что от неё защищён адресат ваших писем, а значит, содержание ваших писем может оказаться незащищённым.
Поскольку цель шифрования именно в защите содержания, нельзя говорить, что вы защищены.
И тут-то шум вполне полезен: чем он больше, тем больше вероятность, что ваши адресаты озаботятся проблемой, о которой раньше и не думали.
А если тебе нужно защитить новые письма — ничто не мешает тебе шифровать их отдельно, не в клиенте.
Красивая атака, в общем =)
Но необходимо пока отключить шифрование, чтобы защитить уже отправленные письма, которые могли быть перехвачены.
Вкратце, если у негодяя есть перехваченное зашифрованное тобой письмо, он может зашифрованный текст из него добавить в своё, хитро сформированное письмо, отправить такое письмо тебе, и твой почтовый клиент обработает его так, что негодяй получит ответное письмо с расшифрованным текстом.