郵件加密技術PGP與S/MIME協定遭破解 你的加密郵件內容可能被曝光

長期以來,向來令人覺得安心的PGP郵件加密技術,被安全研究人員揭露出來兩個致命漏洞,導致入侵者可以看到加密郵件的內容,企業主管們要小心了!

如果你正使用PGP、S/MIME來收發機密的電子郵件,最好立即停止,因為歐洲安全研究人員發現兩個加密標準存在安全漏洞,導致以PGP、S/MIME加密的郵件內容曝光。

德國明斯特大學及魯爾大學、比利時魯汶大學一群安全研究學者週二公佈一項研究報告並發出警告,他們也曾揭露2016年以來影響1,100多萬個網站的Drown攻擊行動。

Sebastian Schinzel的推文表示:「我們公佈了PGP/GPG及S/MIME郵件加密標準的重大漏洞。這些漏洞可能導致加密郵件以明文曝光,包括過去傳送的加密郵件。」

研究人員表示目前這些漏洞尚無修補程式,因此在有進一步消息前,你最好關閉手機郵件軟體的PGP外掛。此時,最保險的作法是使用如Signal等通訊加密App。

GNU Privacy Guard(OpenPGP標準實作之一)創辦人Werner Koch在電子郵件群組中提到,以PGP/S/MIME郵件軟體(非加密標準本身)傳送的HTML郵件並不安全,而且載有特定附件的S/MIME郵件軟體訊息漏洞目前也尚未有修補程式。

可收發OpenPGP加密郵件的Thunderbird知名外掛Enigmail開發人員Robert Hasen在推文建議更新其App:「Enigmail用戶們:不要相信謠言,不要驚慌,只要確保你更新到最新版Enigmail。是的我們看到該報告了。根據報告作者的建議,我們在報告發表以前不會做進一步評論。」

研究人員稍早公佈了本篇研究報告論文(https://efail.de)。他們解釋,EFAIL攻擊「破解了PGP及S/MIME郵件加密防護,強迫用戶端軟體將電子郵件傳送完整明文內容給攻擊者。」這聽來很嚴重,但是駭客必須要能存取你的PGP或S/MIME加密郵件才能發動攻擊。

這表示只有少數被盯上的用戶會才會受影響,因此郵件外洩的範圍並不是太大。

由於目前該漏洞尚無修補程式,因此研究人員建議最好移除PGP、S/MIME私有金鑰。然後以複製、貼上的方法將郵件密文貼到另一個加密郵件程式來閱讀,可防止你的加密郵件被以明文傳送給了攻擊者。此外,關掉外部傳入郵件的HTML渲染也可以防止你的郵件軟體無意間將郵件傳出去。

最好的方法還是等這些郵件程式的開發商釋出修補程式,把漏洞補好,而PGP、S/MIME標準維護單位也應該儘速更新,以免駭客得逞。

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416