PGP和S/MIME被视为电子邮件加密的两把锁
5月15日讯 德国明斯特大学的研究人员2018年5月13日发推特警告称,pgp 和 s/mime 电子邮件加密工具中存在严重的漏洞, 20 多个邮件客户端受到影响。研究人员表示,攻击者可借此发起 efail 攻击,解密发送或接收的加密信息。该漏洞已被电子前沿基金会(eff)证实。
pgp 和 s/mime
pgp 和 s/mime 被视为电子邮件加密的两把锁:
pgp 是一个开源端对端电子邮件加密标准,以防止电子邮件通信遭到公司、政府机构或网络犯罪分子监听。
s/mime 是一种非对称、基于加密的技术,允许用户发送带有数字签名和加密的电子邮件。
研究人员表示,这些漏洞可能会泄露加密电子邮件的明文通信内容,包括过去发送的加密电子邮件,目前尚无可靠的解决方案。
研究人员的5月15日发布的论文(地址 https://efail.de/)中包含一个概念验证漏洞,它可以让攻击者利用受害者自己的电子邮件客户端解密先前获取的消息,并将解密后的内容返回给攻击者,而不会提醒受害者。概念验证只是这种新型攻击的一种实现方式,在未来的几天中可能会出现变体。漏洞分为两类:
direct exfiltration:影响苹果 macos、ios 邮件客户端,还有 mozilla thunderbird,利用这种漏洞,攻击者可以发一封邮件,自动解码受害者发送的加密信息并分享内容。研究人员相信,这个漏洞只要安装补丁就能解决。
cbc/cfb gadget attack:影响的邮件客户端更多,包括微软 outlook,漏洞的威力如何,具体要看用的是 pgp 还是 s/mime 加密方式。如果是 pgp 加密,每尝试三次会有一次成功,如果是 s/mime 加密,一封邮件一次最多可以破解 500 条信息。
影响范围
一、针对 s/mime 客户端的验证测试结果:
红色:泄露渠道(无需用户交互)
橘色:泄露渠道(需用户交互)
绿色:未发现泄露渠道
二、针对 pgp 客户端的验证结果:
红色:泄露渠道(无需用户交互)
绿色:不受影响
三、直接泄露的测试结果:
红色:泄露渠道(无需用户交互)
橘色:泄露渠道(需用户交互)
如果想从底层架构对 pgp 和 s/mime 进行修复,可能需要更长时间。建议用户暂时禁用或卸载 pgp 和 s/mime。
解决方案
电子前沿基金会(eff)已发布禁用 pgp 及相关插件的指南,但该组织表示,这些解决方案只是暂时的权宜之计。
eff 建议,急需使用电子邮件加密工具的用户使用支持端对端加密的即时通讯客户端进行通信。此外,eff 特别建议用户立即禁用以下插件或工具:
thunderbird with enigmail
apple mail with gpgtools
outlook with gpg4win
另外,研究人员强调称,这些漏洞并未存在于加密算法的工作方式当中,而是出在电子邮件加密工具/插件的工作方式当中。
Sunrise拥有瑞士最好的5G网络,5G速率可高达2Gbps
2016年新能源汽车行业十大并购事件,此行业未来会如何发展?
用于微电子封装的电子胶粘剂及其涂覆工艺
如何实现中国制造业的高质量发展
微流控芯片上市公司汇总_八家微流控芯片上市公司介绍
PGP和S/MIME被视为电子邮件加密的两把锁
关于智能RFID系统在工业控制中的多种应用
电度表类型及接线方式介绍
五排光排管散热器介绍
甲烷传感器的原理说明
微软Xbox Series X性能真能达到Xbox One X的二倍吗
基于ARM9处理器S3C2440的GPS导航终端机的设计
浅谈永磁同步电动机的节能原理
既要高性能又要高性价比,一加3T和华为p9算吗?
Wristcam表带可为Apple Watch配备两个摄像头
基于DSP芯片的Flash程序自举引导的方法实现
低功耗贯穿芯片设计全流程
100V高端/低端N沟道高速MOSFET驱动器LTC4446
JASMINER创造绿色算力新体验,让高通量与低功耗可以兼得
目前边缘计算的发展还存在着哪些挑战
pgp 和 s/mime
pgp 和 s/mime 被视为电子邮件加密的两把锁:
pgp 是一个开源端对端电子邮件加密标准,以防止电子邮件通信遭到公司、政府机构或网络犯罪分子监听。
s/mime 是一种非对称、基于加密的技术,允许用户发送带有数字签名和加密的电子邮件。
研究人员表示,这些漏洞可能会泄露加密电子邮件的明文通信内容,包括过去发送的加密电子邮件,目前尚无可靠的解决方案。
研究人员的5月15日发布的论文(地址 https://efail.de/)中包含一个概念验证漏洞,它可以让攻击者利用受害者自己的电子邮件客户端解密先前获取的消息,并将解密后的内容返回给攻击者,而不会提醒受害者。概念验证只是这种新型攻击的一种实现方式,在未来的几天中可能会出现变体。漏洞分为两类:
direct exfiltration:影响苹果 macos、ios 邮件客户端,还有 mozilla thunderbird,利用这种漏洞,攻击者可以发一封邮件,自动解码受害者发送的加密信息并分享内容。研究人员相信,这个漏洞只要安装补丁就能解决。
cbc/cfb gadget attack:影响的邮件客户端更多,包括微软 outlook,漏洞的威力如何,具体要看用的是 pgp 还是 s/mime 加密方式。如果是 pgp 加密,每尝试三次会有一次成功,如果是 s/mime 加密,一封邮件一次最多可以破解 500 条信息。
影响范围
一、针对 s/mime 客户端的验证测试结果:
红色:泄露渠道(无需用户交互)
橘色:泄露渠道(需用户交互)
绿色:未发现泄露渠道
二、针对 pgp 客户端的验证结果:
红色:泄露渠道(无需用户交互)
绿色:不受影响
三、直接泄露的测试结果:
红色:泄露渠道(无需用户交互)
橘色:泄露渠道(需用户交互)
如果想从底层架构对 pgp 和 s/mime 进行修复,可能需要更长时间。建议用户暂时禁用或卸载 pgp 和 s/mime。
解决方案
电子前沿基金会(eff)已发布禁用 pgp 及相关插件的指南,但该组织表示,这些解决方案只是暂时的权宜之计。
eff 建议,急需使用电子邮件加密工具的用户使用支持端对端加密的即时通讯客户端进行通信。此外,eff 特别建议用户立即禁用以下插件或工具:
thunderbird with enigmail
apple mail with gpgtools
outlook with gpg4win
另外,研究人员强调称,这些漏洞并未存在于加密算法的工作方式当中,而是出在电子邮件加密工具/插件的工作方式当中。
Sunrise拥有瑞士最好的5G网络,5G速率可高达2Gbps
2016年新能源汽车行业十大并购事件,此行业未来会如何发展?
用于微电子封装的电子胶粘剂及其涂覆工艺
如何实现中国制造业的高质量发展
微流控芯片上市公司汇总_八家微流控芯片上市公司介绍
PGP和S/MIME被视为电子邮件加密的两把锁
关于智能RFID系统在工业控制中的多种应用
电度表类型及接线方式介绍
五排光排管散热器介绍
甲烷传感器的原理说明
微软Xbox Series X性能真能达到Xbox One X的二倍吗
基于ARM9处理器S3C2440的GPS导航终端机的设计
浅谈永磁同步电动机的节能原理
既要高性能又要高性价比,一加3T和华为p9算吗?
Wristcam表带可为Apple Watch配备两个摄像头
基于DSP芯片的Flash程序自举引导的方法实现
低功耗贯穿芯片设计全流程
100V高端/低端N沟道高速MOSFET驱动器LTC4446
JASMINER创造绿色算力新体验,让高通量与低功耗可以兼得
目前边缘计算的发展还存在着哪些挑战