在很多情況下,我們都以這樣或那樣的方式看到互聯網實際上是不安全的。 在這一點上,事實是,如果來自世界各地的公司和跨國公司(許多用戶信任的公司和跨國公司)已經看到網絡犯罪分子如何設法訪問他們的服務器並竊取數百萬用戶的密碼和個人數據,想像一下,這可以通過更小的應用程序來完成,在許多情況下,安全性處於次要位置。
事實並非如此,而且更令人擔憂的是, 有許多安全協議,到目前為止看起來非常安全,但現在開始失效。 這次我們不會談論一封電子郵件或一家為您提供安全電子郵件帳戶的名字和姓氏的公司,而是談論使這些平台安全的協議,根據一組研究人員的說法,這些協議可以達到將您的所有電子郵件公開給任何有足夠知識的人。
電子郵件標準加密協議 PGP 存在嚴重漏洞
更詳細地說,讓我告訴您,我們正在討論當今許多公司用來加密的安全協議,從而為客戶提供更安全的電子郵件服務。 具體來說我們談論的是 PGP 或 S/MIME 加密算法據發現,它存在一個嚴重的漏洞,可以以純文本形式暴露所有加密的電子郵件,甚至是您過去可能發送的所有消息。
以更容易理解和引用的話的方式 塞巴斯蒂安·辛澤爾是參與該項目的安全專家之一,也是明斯特應用科技大學計算機安全教授:
電子郵件不是一種安全的通信方式
Electronica Frotier 基金會負責揭露 PGP 協議中的這一關鍵缺陷
為了讓我們了解風險,請告訴您 該漏洞首先由電子前沿基金會發現 就在周一早上,就在一份發行量大的德國日報宣布了新聞禁運之後。 一旦所有這些信息被公開,參與這一發現的歐洲研究人員小組就開始宣佈人們應該完全停止使用 PGP 加密算法,因為截至目前,還沒有針對檢測到的漏洞的可靠解決方案。
正如研究人員所說:
EFAIL 攻擊利用 OpenPGP 和 S/MIME 標準中的漏洞以純文本形式洩露加密電子郵件。 簡而言之,EFAIL 濫用 HTML 電子郵件中的活動內容(例如外部加載的圖像或樣式),通過請求的 URL 過濾掉純文本。 要創建這些滲透通道,攻擊者首先需要獲得對加密電子郵件的訪問權限,例如通過攔截網絡流量、破壞電子郵件帳戶、電子郵件服務器、備份系統或客戶端計算機。 這些電子郵件甚至可能是幾年前收集的。
攻擊者以某種方式更改加密郵件,並將此被篡改的加密郵件發送給受害者。 受害者的電子郵件客戶端解密電子郵件並加載任何外部內容,從而將明文洩露給攻擊者。
許多安全專家認為這個漏洞被高估了。
想了解更多一點 PGP,告訴你,它無非就是加密軟件,至少到目前為止,一直被認為是 電子郵件安全標準。 對於當今許多人來說,這種類型的加密電子郵件對於他們的通信至關重要,在所有這些報導宣布美國政府正在實施大規模電子監控之後,許多公司開始感到擔憂。
在這一發現可能帶來的危險中, 事實是,許多專家認為脆弱性被高估了。 每個人都對這個公告反應過度。 我們有一個這樣的例子 維爾納·科赫(Werner Koch),GNU Privacy Guard 的主要作者,他從字面上評論說,緩解這個問題的方法實際上是通過 停止使用 HTML 郵件並使用經過身份驗證的加密.