据 ArsTechnica 报道,此前在互联网上被广泛使用的电子邮件加密方法(PGP 与 S/Mime),已经曝出了两个严重的漏洞,或导致加密电邮在黑客面前暴露无遗。
周日晚些时候,一名研究人员警告称,当前没有可靠的解决方案,只能建议那些为敏感通信***用加密标准的人们,立即将之从电子邮件客户端移除。
明斯特大学应用科学系计算机安全教授 Sebastian Schinzel 在 Twitter 上表示:
该漏洞或导致加密电邮明文泄露,甚至包括用户过去发送的加密邮件。
当前暂无针对该漏洞的可靠修复方案,如果你将 PGP/GPG 或 S/MIME 用于敏感通讯加密,则应该立即在电邮客户端中禁用。
此外,Schinzel 援引电子前沿基金会(EFF)的话称:
EFF 一直与研究团队进行着沟通,并且可以确认漏洞对那些使用这些工具进行 E-mail 通讯的人来说是一个直接的风险,包括对过去的信息内容也有潜在的影响。
Schinzel 和 EFF 博客文章都指出,用户应该禁用 Thunderbird、macOS Mail、Outlook 等邮件客户端中的相关加密插件。
将插件从上述 E-mail 客户端移除后,你的电子邮件将不会被自动加密。如果接收到了 GPG 加密的消息,请不要解密它们。
德国研究人员才发布了一个关于新发现的加密电子邮件问题的警报,所以现在互联网和媒体讨论到电子邮件加密,更给人感觉是在聊安全虚无主义的。
但从安全角度来看,基本***设电子邮件是像明信片一样透明,比如在电子邮件中写的任何内容都可以由电子邮件提供商(例如,Google,如果是使用Gmail,还有腾讯等)读取,也可以由电子邮件提供商发送邮件给你的人。如果这些供应商(或其任何系统管理员或律师)想要阅读你的邮件,或被黑客攻击,贿赂或被执法部门强制分享访问权限,那么你的的电子邮件内容可轻松访问。
听起来很绝望,不过多年来,已经有了一些机制,允许电子邮件用户隐藏他们的电子邮件内容,以防窥探。这些系统被统称为“端到端”电子邮件加密方案,因为只有端点(用户)可以阅读邮件的内容,并且中间的提供者都不能阅读它。令人遗憾的是,由于技术挑战和可用性困难,端到端电子邮件加密并未广泛使用。 E-Fail研究中提出的一个有效观点是,即使你的电子邮件设置已更新且安全,将加密电子邮件发送给运行易受攻击工具的其他人也有可能泄露该电子邮件的内容。
所以用户该怎么办呢?首先就是要保证邮箱更新到最新,使用良好的且维护良好的程序来访问邮件。最后,应该谨慎点击收到的电子邮件中的链接,因为点击链接可能导致泄露敏感信息。
了解更多硅谷前沿深度讯息请看 硅发布 微信公众号
