使用PGP或S / MIME加密您的电子邮件可能不再是最安全的选项。
欧洲的一个研究小组称,在某些情况下,您可以破解加密信息并显示您的私人电子邮件内容,他们发表了一篇文章,详细介绍如何从使用PGP或S / MIME加密保护的电子邮件中提取纯文本的方法。
研究人员将该漏洞称为“ EFail ”,并称其影响十几个电子邮件客户端,如Apple Mail,Microsoft的Outlook和Thunderbird,它们都支持插件工具或使用本地标准进行加密。
为了利用这个缺陷,你需要一份受害者加密电子邮件的副本。研究人员发现你实际上可以用一些计算机代码来改变加密的电子邮件,以触发一个HTML过程来解密它。
研究人员写道:“简而言之,EFAIL滥用HTML电子邮件的活动内容,例如外部加载的图像或样式,通过请求的URL来清除纯文本。”
一旦更改,加密的电子邮件可以发送回受害者的电子邮件客户端,这将错误地解密内部的内容并通过URL请求将信息发送给攻击者的服务器。
研究人员警告说,记者,政治活动家和举报人面临这一缺陷的最大风险; 多年来,PGP一直是一种使用端到端加密形式保护敏感电子邮件的工具,其中S / MIME可以作为替代方案。相比之下,主流电子邮件客户端只需使用纯文本处理和存储邮件。
也就是说,PGP并不是很受欢迎。加密标准于1991年开发,意味着“相当好的隐私”。然而,这是非常难以使用的。据报道,即使PGP的原始开发人员也避免不了这种情况。
批评者也很快对EFail漏洞的严重性产生怀疑,并指出该黑客行为并不容易实现。
为了实际利用它,攻击者需要拥有加密消息的副本,攻击者需要受害者拥有易受攻击的电子邮件和PGP客户端,攻击者需要邮件客户端加载远程内容(而不是Outlook中的默认设置,Mac Mail等等)等等。 - Kevin Beaumont(@GossiTheDog)2018年5月14日
安全漏洞也可能代表了PGP实现中的更多问题,而不是加密标准的任何错误。例如,支持PGP版本的电子邮件客户端ProtonMail就不受影响。
“真正的漏洞是各种PGP客户端的执行错误,”ProtonMail 周一发推文。声称“PGP易受攻击”的标题不准确,电子邮件服务增加了邮件暴露在攻击面前的风险。
Werner Koch是开源PGP软件套件GNU Privacy Guard(GnuPG)的开发者,他对这项研究也持批评态度。“众所周知,HTML邮件,特别是外部链接......是非法的,”他周一写道。
另一方面,电子前沿基金会则敦促用户禁用或卸载PGP电子邮件插件,直到EFail威胁得到更广泛的接受。“相反,使用基于非电子邮件的消息平台(如Signal)来满足您的加密消息传递需求。使用脱机工具对您之前收到的PGP消息进行解密,”该小组说。
EFF还指出,EFail漏洞可能引发关于两种加密标准的安全性的争论。但与此同时,受影响的电子邮件客户正在准备补丁来解决这个缺陷。
Thunderbird项目告诉PCMag,它已经在测试它预计在本周末推出的修复程序。加密软件的另一供应商GPGTools也表示,本周即将推出一项更新,以缓解这一缺陷导致的紧张局面。
对于PGP用户,研究人员创建了提供更多关于如何保护自己免受EFail威胁的信息一个页面。他们警告说,除非IT界更新PGP和S / MIME标准,否则这个漏洞将不会完全修复。
领取专属 10元无门槛券
私享最新 技术干货