ลูกโตพอดี Thunderbird รองรับ OpenPGP หลังเปิดบั๊กมา 21 ปี

By lew Founder on Tag: Thunderbird, Open Source, PGP
Thunderbird

ทีมงานโปรแกรมอ่านอีเมล Thunderbird ปิดบั๊กขอเพิ่มฟีเจอร์หมายเลข 22687 ที่รายงานมาตั้งแต่วันที่ 26 ธันวาคม 1999 เพื่อให้ Thunderbird สามารถเข้ารหัสอีเมลแบบ PGP ได้ในตัว ล่าสุด Thunderbird รวมฟีเจอร์นี้เข้าในตัวในเวอร์ชั่น 78 ทำให้ปิดบั๊กนี้ได้เป็นทางการ

Read more

เซิร์ฟเวอร์กุญแจ PGP ถูกสแปมถล่ม การตรวจกุญแจจากเซิร์ฟเวอร์อาจะทำงานช้าจนใช้งานไม่ได้

By lew Founder on Tag: Security, PGP, Spam
Security

Robert J. Hansen ผู้ดูแลเอกสารของ GnuPG รายงานถึงการโจมตีเซิร์ฟเวอร์กุญแจ (Synchronizing Key Server - SKS) ที่ใช้ค้นหากุญแจสาธารณะสำหรับผู้รับอีเมลปลายทาง ถูกโจมตีโดยมุ่งเป้าไปยังนักพัฒนาบางคนด้วยการโพสใบรับรองกุญแจจำนวนมาก จน OpenPGP ทำงานไม่ได้ หรือทำงานได้ช้า

Read more

ProtonMail รองรับ PGP เต็มรูปแบบ, เปิด public key server ของตัวเอง

By nutmos Writer on Tag: Proton, PGP, Encryption, Email
Proton

ProtonMail ประกาศเพิ่มฟีเจอร์ใหม่ในด้านความปลอดภัยเพิ่มเติมสองอย่าง คือ Address Verification สำหรับยืนยันกุญแจสาธารณะของอีเมลแอดเดรส และรองรับการส่งอีเมลเข้ารหัสแบบ PGP กับอีเมลแอดเดรสอื่นที่ไม่ได้อยู่ในระบบของ ProtonMail

ฟีเจอร์แรกคือ Address Verification โซลูชั่นเพื่อป้องกันการโจมตีแบบ Man-in-the-Middle คือเมื่อได้รับข้อความจากที่อยู่ติดต่อของ ProtonMail แล้ว และมั่นใจว่ากุญแจที่มาพร้อมอีเมลเป็นกุญแจสาธารณะของคู่สนทนาจริง สามารถกด Trust Public Key สำหรับข้อความนี้ได้ทันที โดยกุญแจสาธารณะนี้จะถูกบันทึกลงระบบที่อยู่ติดต่อแบบเข้ารหัสและเซ็นด้วยลายเซ็นดิจิทัล

Read more

ช่องโหว่ EFAIL จากโปรแกรมเมลตรวจสอบการเข้ารหัส PGP ไม่สมบูรณ์ เปิดช่องให้แฮกเกอร์อ่านเมล

By lew Founder on Tag: Security, PGP
Security

เมื่อวานนี้มีรายงานถึงช่องโหว่ EFAIL ตอนนี้รายละเอียดก็ออกมาแล้ว โดยปัญหาสำคัญคือโปรแกรมเมลและปลั๊กอินสำหรับถอดรหัส PGP นั้นทำงานผิดพลาดที่ไม่ตรวจสอบสถานะการถอดรหัส ประกอบการโปรแกรมเมลเมื่อรับอีเมลเป็น HTML มักจะเรนเดอร์ HTML ทันที

การโจมตี EFAIL อาศัยช่องว่างนี้นำข้อความเข้ารหัสที่อ่านไม่ได้ ไปวางไว้ในอีเมลอีกฉบับ โดยทำเป็น URL ของภาพ ทำให้โปรแกรมอีเมลพยายามเรนเดอร์อีเมลและส่ง request ไปยังเซิร์ฟเวอร์ของแฮกเกอร์

คำแนะนำระหว่างนี้คือผู้ที่ใช้อีเมลเข้ารหัสควรปิดการเรนเดอร์ HTML ในโปรแกรมอีเมล และรอแพตช์จากผู้ผลิตต่อไป

Read more

[อัพเดต] พบช่องโหว่ความปลอดภัยระบบ PGP และ S/MIME อาจแสดง plaintext ของอีเมลที่เข้ารหัสแล้ว

By nutmos Writer on Tag: PGP, Encryption, Email, Security
PGP

Sebastian Schinzel นักวิจัยความปลอดภัยจาก Münster University of Applied Sciences พบช่องโหว่ความปลอดภัยของระบบ PGP และ S/MIME ที่ใช้เพื่อการส่งอีเมลเข้ารหัสซึ่งเป็นมาตรฐานที่ใช้กันอย่างแพร่หลาย

นักวิจัยที่ค้นพบช่องโหว่เผยว่า ช่องโหว่ที่ค้นพบล่าสุดนี้มีโอกาสที่จะแสดง plaintext ของข้อความเข้ารหัสที่เข้ารหัสแล้วออกมาได้ ซึ่งรวมถึงข้อความเข้ารหัสที่มีการส่งในอดีตด้วย และตอนนี้ยังไม่มีวิธีแก้ปัญหาดังกล่าว

Read more

PGP Fingerprint แบบย่อเริ่มถูกปลอมแปลง, ควรเทียบกุญแจเต็มเสมอ

By lew Founder on Tag: PGP, Security
PGP

การเข้ารหัสอีเมลด้วย PGP เป็นมาตรฐานกลางที่ใช้งานกันโดยทั่วไป แม้กุญแจสาธารณะจะมีความยาวมาก แต่โดยทั่วไปแล้วเรามักแชร์กุญแจกันแบบย่อเพื่อความสะดวก แต่ในช่วงไม่กี่เดือนที่ผ่านมาเริ่มมีรายงานว่ากุญแจ PGP ของคนดังเริ่มถูกปลอมแปลง

ตัวอย่างคนที่ถูกปลอมแปลงได้แก่ Linus Trovald (กุญแจย่อ 0041 1886 กุญแจเต็ม ABAF 11C6 5A29 70B1 30AB E3C4 79BE 3E43 0041 1886)

Read more

ตำรวจเนเธอร์แลนด์จับเจ้าของบริษัทขายโทรศัพท์ที่ใช้ได้เฉพาะ PGP, กำลังพยายามถอดรหัส

By lew Founder on Tag: Security, Netherlands, Crime, PGP, Encryption
Security

ตำรวจเนเธอร์แลนด์จับชายอายุ 36 ปีที่เป็นผู้ต้องสงสัยในคดีฟอกเงิน และเขายังเป็นเจ้าของบริษัทที่ขายโทรศัพท์ที่ส่งแต่อีเมลเข้ารหัสได้เท่านั้น โดยบริษัทของเขาเองก็ถูกกล่าวหาว่าให้บริการการสื่อสารกับอาชญากร

โทรศัพท์ที่ผู้ต้องสงสัยผู้นี้ขายมีราคา 1,500 ยูโร หรือประมาณหกหมื่นบาท แต่ไม่สามารถใช้งานอย่างอื่นได้นอกจากอีเมลเท่านั้น โดยอีเมลจะเข้ารหัสด้วยโปรแกรม PGP ที่มีใช้กันโดยทั่วไป

Read more

GitHub เปิดบริการ commit แบบยืนยันด้วย GPG

By lew Founder on Tag: GitHub, Programming, Security, PGP
GitHub

GitHub ประกาศรองรับการ commit และ tag โค้ดที่ยืนยันด้วย GPG เพิ่มความน่าเชื่อถือให้กับโค้ดว่าไม่ได้ถูกดัดแปลง แม้ว่า GitHub จะถูกแฮกไปก็ตาม (แต่ถ้ากุญแจลับ GPG หลุดอีกก็ช่วยไม่ได้)

หน้าเว็บของ GitHub เองจะแสดงเครื่องหมายยืนยันว่าโค้ดที่ commit ครั้งใดบ้างที่ได้รับการยืนยันด้วย GPG แล้วบ้าง

ความสามารถในการตรวจสอบโค้ดด้วย GPG เป็นความสามารถของ Git มาก่อน เป็นประโยชน์ในกรณีเราไม่ได้ดึงโค้ดจากแหล่งของนักพัฒนาโดยตรง หรือโค้ดที่ต้องระวังการถูกแก้ไขจากภายนอกกว่าปกติ สำหรับคนทั่วไปอาจจะไม่จำเป็นเท่าใดนัก

Read more

เฟซบุ๊กรองรับอีเมลถึงผู้ใช้แบบเข้ารหัสทั้งหมด, ต้องใส่กุญแจ PGP บนหน้าโปรไฟล์

By lew Founder on Tag: Security, PGP, Facebook
Security

เฟซบุ๊กประกาศรองรับการส่งอีเมลถึงผู้ใช้แบบเข้ารหัสทั้งหมดตามฟอร์แมต PGP ทำให้อีเมลจากเฟซบุ๊กไม่สามารถอ่านโดยผู้ให้บริการหรือคนร้ายที่ดักฟังระหว่างเซิร์ฟเวอร์ได้อีกต่อไป

Read more

ย้อนรอยกระบวนการแฮกผู้ผลิตซิมรายใหญ่ Gemalto, พนักงานในไทยส่งอีเมล PGP ทำให้ถูกติดตาม

By lew Founder on Tag: Security, Privacy, NSA, SIM card, GCHQ, PGP, Mobile
Security

หลังสัปดาห์ที่แล้วมีข่าว NSA และ GCHQ ร่วมกันเจาะเครือข่ายของ Gemalto ผู้ผลิตซิมการ์ดรายใหญ่ของโลก กระบวนการเจาะเครือข่ายก็มีรายละเอียดเพิ่มมา

Read more

End-To-End อัพเดตเวอร์ชั่นใหม่, เปิดเอกสารให้เว็บอื่นๆ เข้าใช้ API ได้

By lew Founder on Tag: Google, Security, Email, PGP
Google

End-To-End ระบบเข้ารหัสอีเมลจากกูเกิลเปิดตัวไปเมื่อกลางปี ตอนนี้อัพเดตเวอร์ชั่นใหม่แล้วโดยกูเกิลยังยืนยันว่าโครงการนี้ยังอยู่ในระดับอัลฟ่าเท่านั้น แต่ก็มีข้อมูลเพิ่มเติมอีกหลายอย่าง ได้แก่

Read more

กูเกิลเปิดโครงการ End-to-end เตรียมรองรับ PGP ใน Gmail

By lew Founder on Tag: Google, Security, Gmail, PGP
Google

กูเกิลเปิดตัวโครงการ End-to-end เป็นส่วนเสริมของ Chrome เพื่อเข้ารหัสและถอดรหัสอีเมลที่รับส่งในจีเมล

ตัว End-to-end ทำงานตามมาตรฐาน OpenPGP (RFC 4880) สามารถทำได้ทั้งการสร้างคู่กุญแจ, เข้ารหัส, ถอดรหัส, เซ็นลายเซ็นดิจิตอล, และยืนยันลายเซ็นดิจิตอล โดยรองรับเฉพาะการเข้ารหัสแบบ Elliptic Curve เท่านั้น (RFC 6637)

Read more
Subscribe to PGP