在许多场合,我们已经以一种或另一种方式看到了互联网实际上是多么不安全的情况。 在这一点上,事实是,如果世界各地的公司和跨国公司(许多用户都信任的一样)已经看到网络犯罪分子如何设法访问其服务器并窃取其数百万用户的密码和个人数据,那就想像一下在许多情况下,安全性会受到影响,而小型应用程序则可以完成。
事实并非如此,这更令人担忧, 有许多安全协议(到现在为止看起来非常安全)开始失效。 在这种情况下,我们不会谈论电子邮件或公司名称和姓氏可以为您提供安全电子邮件帐户的信息,而是要讨论这些安全平台制定的协议,据一组研究人员称,向所有有足够知识的人公开您的所有电子邮件。
PGP是电子邮件的标准加密协议,具有严重漏洞
再详细一点,让您知道我们正在谈论当今许多公司用来加密并因此向其客户提供更加安全的电子邮件服务的安全协议。 具体来说,我们谈论 PGP或S / MIME加密算法,如所发现的那样,它存在一个严重的漏洞,该漏洞可以暴露所有明文形式的加密电子邮件,甚至包括您过去可能发送的所有邮件。
以更简单的方式理解和指称 塞巴斯蒂安·申克尔,一直从事此项目的安全专家之一,又是明斯特应用科学大学的计算机安全教授:
电子邮件和肛门是一种安全的通讯方式
Electronica Frotier基金会负责揭示PGP协议中的这一关键缺陷
为了让我们对风险有所了解,请告诉您 此漏洞最早由电子前沿基金会发现 恰逢星期一上午,一家大发行量的德国报纸取消了一项新闻禁运。 一旦所有这些信息公开,参与此发现的欧洲研究人员小组便开始宣布人们应该完全停止使用PGP加密算法,因为到目前为止,还没有针对检测到的漏洞的可靠解决方案。
正如研究人员所说:
EFAIL攻击利用OpenPGP和S / MIME标准中的漏洞以纯文本形式显示加密的电子邮件。 简而言之,EFAIL滥用HTML电子邮件中的活动内容(例如,外部加载的图像或样式),以通过请求的URL过滤纯文本。 为了创建这些渗透渠道,攻击者首先需要获得对加密电子邮件的访问权限,例如,通过拦截网络流量,破坏电子邮件帐户,电子邮件服务器,备份系统或客户端计算机。 这些电子邮件甚至可能是几年前收集的。
攻击者以某种方式更改了加密的电子邮件,并将此操纵的加密电子邮件发送给受害者。 受害者的电子邮件客户端解密电子邮件并加载任何外部内容,从而将纯文本泄露给攻击者。
许多安全专家认为此漏洞被高估了
了解更多有关 PGP,告诉您,至少直到现在,加密软件一直被认为是 电子邮件安全标准。 对于今天的许多人来说,这种类型的加密电子邮件对于他们的通信来说是必不可少的。这些报告开始使许多公司感到担忧,这些报告宣布了美国政府正在实施的大规模电子监视。
在此发现可能构成的危险中, 事实是,有很多专家打赌脆弱性被高估了 每个人对这则广告反应过度。 用这个词的例子 维尔纳·科赫(Werner Koch),GNU Privacy Guard的主要作者,他从字面上评论说,缓解此问题的方法实际上是 停止使用HTML邮件并使用经过身份验证的加密.