0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

PGP和S/MIME被视为电子邮件加密的两把锁

pIuy_EAQapp 来源:未知 作者:李倩 2018-05-21 14:25 次阅读

5月15日讯 德国明斯特大学的研究人员2018年5月13日发推特警告称,PGP 和 S/MIME 电子邮件加密工具中存在严重的漏洞, 20 多个邮件客户端受到影响。研究人员表示,攻击者可借此发起 EFAIL 攻击,解密发送或接收的加密信息。该漏洞已被电子前沿基金会(EFF)证实。

PGP 和 S/MIME

PGP 和 S/MIME 被视为电子邮件加密的两把锁:

PGP 是一个开源端对端电子邮件加密标准,以防止电子邮件通信遭到公司、政府机构或网络犯罪分子监听。

S/MIME 是一种非对称、基于加密的技术,允许用户发送带有数字签名和加密的电子邮件。

研究人员表示,这些漏洞可能会泄露加密电子邮件的明文通信内容,包括过去发送的加密电子邮件,目前尚无可靠的解决方案。

研究人员的5月15日发布的论文(地址 https://efail.de/)中包含一个概念验证漏洞,它可以让攻击者利用受害者自己的电子邮件客户端解密先前获取的消息,并将解密后的内容返回给攻击者,而不会提醒受害者。概念验证只是这种新型攻击的一种实现方式,在未来的几天中可能会出现变体。漏洞分为两类:

Direct Exfiltration:影响苹果 macOS、iOS 邮件客户端,还有 Mozilla Thunderbird,利用这种漏洞,攻击者可以发一封邮件,自动解码受害者发送的加密信息并分享内容。研究人员相信,这个漏洞只要安装补丁就能解决。

CBC/CFB Gadget Attack:影响的邮件客户端更多,包括微软 Outlook,漏洞的威力如何,具体要看用的是 PGP 还是 S/MIME 加密方式。如果是 PGP 加密,每尝试三次会有一次成功,如果是 S/MIME 加密,一封邮件一次最多可以破解 500 条信息。

影响范围

一、针对 S/MIME 客户端的验证测试结果:

红色:泄露渠道(无需用户交互)

橘色:泄露渠道(需用户交互)

绿色:未发现泄露渠道

二、针对 PGP 客户端的验证结果:

红色:泄露渠道(无需用户交互)

绿色:不受影响

三、直接泄露的测试结果:

红色:泄露渠道(无需用户交互)

橘色:泄露渠道(需用户交互)

如果想从底层架构对 PGP 和 S/MIME 进行修复,可能需要更长时间。建议用户暂时禁用或卸载 PGP 和 S/MIME。

解决方案

电子前沿基金会(EFF)已发布禁用 PGP 及相关插件的指南,但该组织表示,这些解决方案只是暂时的权宜之计。

EFF 建议,急需使用电子邮件加密工具的用户使用支持端对端加密的即时通讯客户端进行通信。此外,EFF 特别建议用户立即禁用以下插件或工具:

Thunderbird with Enigmail

Apple Mail with GPGTools

Outlook with Gpg4win

另外,研究人员强调称,这些漏洞并未存在于加密算法的工作方式当中,而是出在电子邮件加密工具/插件的工作方式当中。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 电子邮件
    +关注

    关注

    0

    文章

    109

    浏览量

    15330
  • 漏洞
    +关注

    关注

    0

    文章

    204

    浏览量

    15358

原文标题:电子邮件加密工具PGP和S/MIME被曝严重漏洞

文章出处:【微信号:EAQapp,微信公众号:E安全】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    电子邮件的使用培圳教程

    电子邮件的使用培圳教程电子邮件的使用主要内容认识电子邮件通过POP3方式收发电子邮件申请一个免费的电子邮件信箱通过WWW在线方式收发
    发表于 03-10 17:55

    什么是电子邮件?

    亲,什么是电子邮件?
    发表于 10-24 10:05

    传真百科:电子邮件能取代传真吗

    。 而电子邮件标准协议SMTP形成于1982年,该协议负责底层邮件系统如何将邮件从一台机器传至另外一台机器,涉及的信息在多个邮件服务器之间传输,在这种通信方式下
    发表于 01-14 11:32

    电子邮件的使用教程

    电子邮件的使用主要内容认识电子邮件通过POP3方式收发电子邮件申请一个免费的电子邮件信箱通过WWW在线方式收发电子邮件 一 认识
    发表于 03-11 17:11 0次下载

    一种改进的PGP安全电子邮件系统

    USB安全是网络身份认证系统中常用的信息载体,具有较高的可靠性。该文引入N分法密钥概念,结合USB安全的认证协议,提出一种改进的PGP电子邮件系统。在安全通信时,利用USB
    发表于 04-21 10:00 31次下载

    电子邮件使用模拟实验

    实验十二  电子邮件使用模拟实验一、实验目的: 掌握电子邮件的注册及使用流程,了解电子邮局的特点。二、实验内容: 1)电子邮件注册
    发表于 03-18 18:17 2019次阅读

    什么是MIME文件?

    什么是MIME文件? .mim或.mme文件是多用途Internet邮件扩展(MIME)格式的文件。 MIME是使附件可以通过互联网发送的非文本
    发表于 08-03 09:08 1849次阅读

    电子邮件工作原理

    电子邮件工作原理 引言 全世界每天都有数千万人使用电子邮件
    发表于 08-03 09:58 9577次阅读

    WLAN电子邮件移动终端设计

    WLAN电子邮件移动
    发表于 01-07 16:01 52次下载

    电子邮件加密PGPS/MIME加密的区别

    电子邮件在传输中使用的是SMTP协议不提供加密服务,攻击者可在邮件传输中截获数据,造成电子邮件数据泄露或身份仿冒。PGP
    发表于 12-24 14:42 667次阅读

    如何向您选择的某人发送电子邮件

    您可以通过单击左侧的“发送”选项卡来确认您的电子邮件是否已发送。它将显示您发送的所有电子邮件。如果未显示最近发送的电子邮件,或者您希望发送其他电子邮件,请再次参考步骤2到5。现在,您已
    的头像 发表于 12-13 16:35 5003次阅读
    如何向您选择的某人发送<b class='flag-5'>电子邮件</b>

    关于电子邮件它的安全威胁都有哪些

    如果电子邮件电子邮箱、电子邮件服务器和用户看成一个电子邮件相关联的系统,从攻击窃密的角度,电子邮件
    发表于 09-24 14:44 2442次阅读

    英国脱欧文件暴露过时多年的电子邮件加密标准

    ,比如距今已有 23 年历史的网景(Netscape Communicator)邮件客户端。 基于开放标准的 s / MIME,属于电子邮件标准 SMTP 的一个扩展。大多数现代
    的头像 发表于 12-30 16:24 1774次阅读

    面向电子邮件系统支持关键字搜索的代理重加密方案

    针对在加密电子邮件系统中如何搜索已加密邮件和授权他人处理已加密邮件的问题,提出一种面向电子邮件
    发表于 03-31 14:00 2次下载
    面向<b class='flag-5'>电子邮件</b>系统支持关键字搜索的代理重<b class='flag-5'>加密</b>方案

    MDaemon:如何在SecurityGateway™ for Email中加密电子邮件信息

    当用户发送包含敏感内容的电子邮件时,SecurityGateway不会将其直接发送到接收邮件服务器,而是将其存储在安全电子邮件网关服务器上,收件人使用安全消息门户通过加密连接通过Web
    的头像 发表于 08-01 16:39 905次阅读
    MDaemon:如何在SecurityGateway™ for Email中<b class='flag-5'>加密电子邮件</b>信息