據 ArsTechnica 報導,此前在網際網路上被廣泛使用的電子郵件加密方法(PGP 與 S/Mime),已經曝出了兩個嚴重的漏洞,或導致加密電郵在黑客面前暴露無遺。週日晚些時候,一名研究人員警告稱,當前沒有可靠的解決方案,只能建議那些為敏感通訊採用加密標準的人們,立即將之從電子郵件客戶端移除。
明斯特大學應用科學系電腦保安教授 Sebastian Schinzel 在 Twitter 上表示:
該漏洞或導致加密電郵明文洩露,甚至包括使用者過去傳送的加密郵件。
當前暫無針對該漏洞的可靠修復方案,如果你將 PGP/GPG 或 S/MIME 用於敏感通訊加密,則應該立即在電郵客戶端中禁用。
此外,Schinzel 援引電子前沿基金會(EFF)的話稱:
EFF 一直與研究團隊進行著溝通,並且可以確認漏洞對那些使用這些工具進行 E-mail 通訊的人來說是一個直接的風險,包括對過去的資訊內容也有潛在的影響。
Schinzel 和 EFF 部落格文章都指出,使用者應該禁用 Thunderbird、macOS Mail、Outlook 等郵件客戶端中的相關加密外掛。
將外掛從上述 E-mail 客戶端移除後,你的電子郵件將不會被自動加密。如果接收到了 GPG 加密的訊息,請不要解密它們。
值得玩味的是,其僅明確提醒禁用那些整合了 GPG 的電郵客戶端,而 Gpg4win、GNU Privacy Guard 等卻不在此列。
當前公眾對漏洞的細節知之甚少,不過研究團隊很早就開始了這方面的攻擊研究,比如 2016 年的 Drown(對 TLS 協議保護的通訊進行了解密)。
其它從事 GPG 與 S/MIME 研究的人員包括 Damian Poddebniak、Christian Dresen、Jens Müller、Fabian Ising、Simon Friedberger、juraj somorovsky、Jörg Schwenk 。
除了明斯特大學(Münster University),研究人員還提到了波鴻魯爾大學(Ruhr-University)和魯汶大學( KU Leuven University)。
來源:cnbeta