电子邮件加密工具PGP和S/MIME被曝严重漏洞

E安全5月15日讯 德国明斯特大学的研究人员2018年5月13日发推特警告称,PGP 和 S/MIME 电子邮件加密工具中存在严重的漏洞,20 多个邮件客户端受到影响。研究人员表示,攻击者可借此发起 EFAIL 攻击,解密发送或接收的加密信息。该漏洞已被电子前沿基金会(EFF)证实。

PGP 和 S/MIME

PGP 和 S/MIME 被视为电子邮件加密的两把锁:

PGP 是一个开源端对端电子邮件加密标准,以防止电子邮件通信遭到公司、政府机构或网络犯罪分子监听。

S/MIME 是一种非对称、基于加密的技术,允许用户发送带有数字签名和加密的电子邮件。

研究人员表示,这些漏洞可能会泄露加密电子邮件的明文通信内容,包括过去发送的加密电子邮件,目前尚无可靠的解决方案。

研究人员的5月15日发布的论文(地址 https://efail.de/)中包含一个概念验证漏洞,它可以让攻击者利用受害者自己的电子邮件客户端解密先前获取的消息,并将解密后的内容返回给攻击者,而不会提醒受害者。概念验证只是这种新型攻击的一种实现方式,在未来的几天中可能会出现变体。

漏洞分为两类:

Direct Exfiltration:影响苹果 macOS、iOS 邮件客户端,还有 Mozilla Thunderbird,利用这种漏洞,攻击者可以发一封邮件,自动解码受害者发送的加密信息并分享内容。研究人员相信,这个漏洞只要安装补丁就能解决。

CBC/CFB Gadget Attack:影响的邮件客户端更多,包括微软 Outlook,漏洞的威力如何,具体要看用的是 PGP 还是 S/MIME 加密方式。如果是 PGP 加密,每尝试三次会有一次成功,如果是 S/MIME 加密,一封邮件一次最多可以破解 500 条信息。

影响范围

一、针对 S/MIME 客户端的验证测试结果:

红色:泄露渠道(无需用户交互)

橘色:泄露渠道(需用户交互)

绿色:未发现泄露渠道

二、针对 PGP 客户端的验证结果:

红色:泄露渠道(无需用户交互)

绿色:不受影响

三、直接泄露的测试结果:

红色:泄露渠道(无需用户交互)

橘色:泄露渠道(需用户交互)

如果想从底层架构对 PGP 和 S/MIME 进行修复,可能需要更长时间。建议用户暂时禁用或卸载 PGP 和 S/MIME。

解决方案

电子前沿基金会(EFF)已发布禁用 PGP 及相关插件的指南,但该组织表示,这些解决方案只是暂时的权宜之计。

EFF 建议,急需使用电子邮件加密工具的用户使用支持端对端加密的即时通讯客户端进行通信。此外,EFF 特别建议用户立即禁用以下插件或工具:

Thunderbird with Enigmail

Apple Mail with GPGTools

Outlook with Gpg4win

另外,研究人员强调称,这些漏洞并未存在于加密算法的工作方式当中,而是出在电子邮件加密工具/插件的工作方式当中。

注:本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/866620463.shtml

  • 发表于:
  • 原文链接:https://kuaibao.qq.com/s/20180515A0MUJH00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券