加密電郵在裸奔：PGP與S.MIME嚴重漏洞曝光

據 ArsTechnica 報導，此前在網際網路上被廣泛使用的電子郵件加密方法（PGP 與 S/Mime），已經曝出了兩個嚴重的漏洞，或導致加密電郵在黑客面前暴露無遺。週日晚些時候，一名研究人員警告稱，當前沒有可靠的解決方案，只能建議那些為敏感通訊採用加密標準的人們，立即將之從電子郵件客戶端移除。

明斯特大學應用科學系電腦保安教授 Sebastian Schinzel 在 Twitter 上表示：

該漏洞或導致加密電郵明文洩露，甚至包括使用者過去傳送的加密郵件。

當前暫無針對該漏洞的可靠修復方案，如果你將 PGP/GPG 或 S/MIME 用於敏感通訊加密，則應該立即在電郵客戶端中禁用。

此外，Schinzel 援引電子前沿基金會（EFF）的話稱：

EFF 一直與研究團隊進行著溝通，並且可以確認漏洞對那些使用這些工具進行 E-mail 通訊的人來說是一個直接的風險，包括對過去的資訊內容也有潛在的影響。

Schinzel 和 EFF 部落格文章都指出，使用者應該禁用 Thunderbird、macOS Mail、Outlook 等郵件客戶端中的相關加密外掛。

將外掛從上述 E-mail 客戶端移除後，你的電子郵件將不會被自動加密。如果接收到了 GPG 加密的訊息，請不要解密它們。

值得玩味的是，其僅明確提醒禁用那些整合了 GPG 的電郵客戶端，而 Gpg4win、GNU Privacy Guard 等卻不在此列。

當前公眾對漏洞的細節知之甚少，不過研究團隊很早就開始了這方面的攻擊研究，比如 2016 年的 Drown（對 TLS 協議保護的通訊進行了解密）。

其它從事 GPG 與 S/MIME 研究的人員包括 Damian Poddebniak、Christian Dresen、Jens Müller、Fabian Ising、Simon Friedberger、juraj somorovsky、Jörg Schwenk 。

除了明斯特大學（Münster University），研究人員還提到了波鴻魯爾大學（Ruhr-University）和魯汶大學（ KU Leuven University）。

來源：cnbeta