如果你一直在使用PGP短相當好的隱私傳送和接收加密電子郵件,它可能是時候切換到一個不同的服務,以維護您的通訊隱私。一個全新的漏洞,搞笑地稱為EFAIL,可以以明文形式顯示您的電子郵件(在某些情況下,甚至是舊電子郵件)的內容。再見,保密。
如果你只是用你最喜歡的電子郵件服務給朋友傳送普通的資訊,閱讀很棒的時事通訊,或者把你最討厭的業務放在網上,這些問題根本不會影響你。如果您使用的是PGP,您就會知道,因為程式的整個前提都是使用公鑰和私鑰(巨大的文字字串)來加密和解密訊息。祕密資訊,理想情況下,不只是有趣的貓影象,你想傳送給你的重要的另一半。
現在有一些關於EFAIL漏洞到底有多大問題的爭論,因為一些公司和有安全意識的人註意到,如果你只是確保你沒有收到HTML電子郵件,那麼你就可以改為純文字。正如GnuPG的Werner Koch所寫:
“有兩種方法可以減輕這種攻擊-不要使用HTML郵件。或者,如果你真的需要閱讀它們,請使用適當的MIME解析器並禁止任何對外部連結的訪問。-使用經過身份驗證的加密。”
不管問題出在PGP和S/MIME上,就像電子前沿基金會(Electronic Frontier Foundation)指出的那樣,還是電子郵件客戶端本身,你對加密通訊的舒適程度將決定你下一步的行動。正如efail.de所指出的,您可以採用以下幾種技術來減輕efail對安全通訊的影響:
“短期:沒有在電子郵件客戶端解密。防止EFAIL攻擊的最佳方法是僅在電子郵件客戶端之外的單獨應用程式中解密S/MIME或PGP電子郵件。首先從電子郵件客戶端刪除S/MIME和PGP私鑰,然後透過copy&;解密傳入的加密電子郵件;將密文貼上到一個單獨的應用程式中,該應用程式為您進行解密。這樣,電子郵件客戶端就無法開啟過濾通道。這是目前最安全的選擇,但缺點是該過程涉及面更大。
短期:禁用HTML呈現。EFAIL攻擊濫用活動內容,主要以HTML影象、樣式等形式出現。禁用電子郵件客戶端中傳入的HTML電子郵件的表示將關閉攻擊EFAIL的最主要方式。請註意,電子郵件客戶端中還有其他可能的反向通道,它們與HTML無關,但更難利用。
中期:修補。一些供應商將釋出修補程式,要麼修複EFAIL漏洞,要麼使其更難利用。
長期:更新OpenPGP和S/MIME標準。EFAIL攻擊利用MIME、S/MIME和OpenPGP標準中的缺陷和未定義的行為。因此,標準需要更新,這需要一些時間。”
我們的建議?也許是時候停止使用電子郵件進行加密通訊了。EFF建議這是一個臨時解決方案,至少:
“我們的建議反映了研究人員的建議,即立即禁用和/或解除安裝自動解密PGP加密電子郵件的工具。在論文中描述的缺陷得到更廣泛的理解和修複之前,使用者應安排使用替代的端到端安全通道,如訊號,並暫時停止傳送特別是閱讀PGP加密的電子郵件。”
正如《連線》在2017年的一篇文章中所描述的那樣,具有端到端加密功能的應用程式,比如Signal、WhatsApp、Confide,甚至Skype等等,都非常適合傳送受保護的通訊(目前)。
雖然這並不是說這些應用程式中的任何一個,甚至是它們用來保護你的訊息的訊號協議,都不會受到未來攻擊(各種各樣的攻擊),但是內建端到端加密的訊息應用程式可能值得考慮作為你最私密訊息的電子郵件替代方案。它們不是萬無一失的,特別是如果有人在另一端有一個受損的裝置,但如果你能忍受這些差異,它們總比什麼都沒有好:
...果你想在網上建立防禦系統並保護自己,讓我們來指導你如何提高你的安全性和保護你的隱私。 ...
...得與你們的物質生活相等。我們立了一份遺囑,宣佈我們如何在死亡的那一刻保護我們在地球上的財產,那麼為什麼不考慮我們的數字資產呢? ...
...IP地址。IP地址的改變給了你另一個匿名級別。(以下是如何讀取電子郵件頭以跟蹤原始IP地址。) ...
...是使用一種稱為憑證轉儲的技術實現的。我們將解釋它是如何工作的,以及如何保護自己不受影響。 ...
...。他們掌握著你的數字王國以及個人資訊的鑰匙。這是你如何加密你的Gmail,Outlook.com,以及其他電子郵件帳戶。 ...
到目前為止,資料洩露不僅對商業企業,而且對消費者和**來說,都是當今最大、最具威脅性的問題之一。隨著網際網路普遍使用的增長,資料洩露以驚人的速度增加。 ...
...給某人的敏感資訊,如密碼或伺服器登入資訊,但不知道如何安全地傳送這些資訊以避免資訊落入壞人手中? ...