吳明宜如果你正使用 PGP 、 S/MIME 來收發機密的電子郵件,最好立即停止,因為歐洲安全研究人員發現兩個加密標準存在安全漏洞,導致以 PGP 、 S/MIME 加密的郵件內容曝光。
德國明斯特大學及魯爾大學、比利時魯汶大學一群安全研究學者週二公佈一項研究報告並發出警告,他們也曾揭露 2016 年以來影響 1,100 多萬個網站的 Drown 攻擊行動。
We’ll publish critical vulnerabilities in PGP/GPG and S/MIME email encryption on 2018-05-15 07:00 UTC. They might reveal the plaintext of encrypted emails, including encrypted emails sent in the past. #efail 1/4
— Sebastian Schinzel (@seecurity) 2018 年 5 月 14 日
Sebastian Schinzel 的推文表示:「我們公佈了 PGP/GPG 及 S/MIME 郵件加密標準的重大漏洞。這些漏洞可能導致加密郵件以明文曝光,包括過去傳送的加密郵件。」
研究人員表示目前這些漏洞尚無修補程式,因此在有進一步消息前,你最好關閉手機郵件軟體的 PGP 外掛。此時,最保險的作法是使用如 Signal 等通訊加密 App 。
GNU Privacy Guard(OpenPGP 標準實作之一)創辦人 Werner Koch 在電子郵件群組中提到,以 PGP/S/MIME 郵件軟體(非加密標準本身)傳送的 HTML 郵件並不安全,而且載有特定附件的 S/MIME 郵件軟體訊息漏洞目前也尚未有修補程式。
Speaking for Enigmail: don’t believe the hype. Don’t panic. Make sure you’re running the latest version of Enigmail. Yes, we have seen the paper. Out of deference to the paper authors, we will forego further comment until publication. https://t.co/I5crWs8fYI
— Robert J. Hansen (@robertjhansen) 2018 年 5 月 14 日
可收發 OpenPGP 加密郵件的 Thunderbird 知名外掛 Enigmail 開發人員 Robert Hasen 在推文建議更新其 App:「Enigmail 用戶們:不要相信謠言,不要驚慌,只要確保你更新到最新版 Enigmail 。是的我們看到該報告了。根據報告作者的建議,我們在報告發表以前不會做進一步評論。」
研究人員稍早公佈了本篇研究報告論文 (https://efail.de) 。他們解釋,EFAIL 攻擊「破解了 PGP 及 S/MIME 郵件加密防護,強迫用戶端軟體將電子郵件傳送完整明文內容給攻擊者。」這聽來很嚴重,但是駭客必須要能存取你的 PGP 或 S/MIME 加密郵件才能發動攻擊。
這表示只有少數被盯上的用戶會才會受影響,因此郵件外洩的範圍並不是太大。
由於目前該漏洞尚無修補程式,因此研究人員建議最好移除 PGP 、 S/MIME 私有金鑰。然後以複製、貼上的方法將郵件密文貼到另一個加密郵件程式來閱讀,可防止你的加密郵件被以明文傳送給了攻擊者。此外,關掉外部傳入郵件的 HTML 渲染也可以防止你的郵件軟體無意間將郵件傳出去。
最好的方法還是等這些郵件程式的開發商釋出修補程式,把漏洞補好,而 PGP 、 S/MIME 標準維護單位也應該儘速更新,以免駭客得逞。