Meno di 72 ore fa è stata scoperta un’importante problema di sicurezza ( in teoria già noto da tempo) all’interno dei principali client di posta elettronica che implementano al loro interno i sistemi di crittografia S/MIME o PGP. La falla consentirebbe ad un malintenzionato di decrittare contenuti cifrati con un minimo sforzo. In breve:
if an attacker can intercept and alter an encrypted email — say, by sending you a new (altered) copy, or modifying a copy stored on your mail server — they can cause many GUI-based email clients to send the full plaintext of the email to an attacker controlled-server.
Il sito Cryptographyengineering ha rilasciato un articolo molto completo che invito tutti quanti a leggere.
Was the Efail disclosure horribly screwed up?