: PGP 和 S/MIME 高危漏洞会暴露加密邮件的明文

Münster 应用科学大学计算机科学教授 Sebastian Schinzel 发出警告,两大最流行的电子邮件加密方法——PGP 和 S/MIME——都易于受攻击,能暴露加密消息的明文。他声称目前没有可靠的修复之法,建议使用者立即卸载。他声称漏洞也能用于暴露用户过去发送的加密邮件。电子前哨基金会(EFF)也在博客上表示他们已经确认这些漏洞对使用者构成了紧迫的危险,它建议立即停用或卸载自动加密电子邮件的工具。他们的建议只涉及在电子邮件中整合 PGP 加密的插件,而不是独立应用如 Gpg4win 和 GNU Privacy Guard。目前漏洞细节没有披露。Media

solidot.org/story?sid=56491

粗略扫了下这几篇文章,处理建议是不要让邮件客户端自动解密邮件,并且涉及到了各大主流客户端和加密插件,难到是某种IMAP/SMTP协议相关的漏洞??

Follow

官网出来了 efail.de/ 凭我贫乏而有限的密码学理解,感觉还是很高端的...第一种方法比较简单,类似于 inline 加密的手段来配合远程加载钓鱼,第二种似乎是利用邮件文本的高度格式化(大家的头都差不多,算是已知明文)来强行构造一断密文插入到中间,客户端自动解密之后访问远程资源把后面的正文带出去......

不过之要邮件客户端不自动加载远程资源,手工允许之前确认好,感觉也还不是特别致命,如果是极其敏感的信息就确保只发纯文本,一切远程请求都拒绝应该就好了

· · Web · 0 · 1 · 0
Sign in to participate in the conversation
Moew!

Have fun and play together~