5月15日訊 德國(guó)明斯特大學(xué)的研究人員2018年5月13日發(fā)推特警告稱，PGP 和 S/MIME 電子郵件加密工具中存在嚴(yán)重的漏洞， 20 多個(gè)郵件客戶端受到影響。研究人員表示，攻擊者可借此發(fā)起 EFAIL 攻擊，解密發(fā)送或接收的加密信息。該漏洞已被電子前沿基金會(huì)（EFF）證實(shí)。

PGP 和 S/MIME

PGP 和 S/MIME 被視為電子郵件加密的兩把鎖：

PGP 是一個(gè)開源端對(duì)端電子郵件加密標(biāo)準(zhǔn)，以防止電子郵件通信遭到公司、政府機(jī)構(gòu)或網(wǎng)絡(luò)犯罪分子監(jiān)聽。

S/MIME 是一種非對(duì)稱、基于加密的技術(shù)，允許用戶發(fā)送帶有數(shù)字簽名和加密的電子郵件。

研究人員表示，這些漏洞可能會(huì)泄露加密電子郵件的明文通信內(nèi)容，包括過(guò)去發(fā)送的加密電子郵件，目前尚無(wú)可靠的解決方案。

研究人員的5月15日發(fā)布的論文（地址 https://efail.de/）中包含一個(gè)概念驗(yàn)證漏洞，它可以讓攻擊者利用受害者自己的電子郵件客戶端解密先前獲取的消息，并將解密后的內(nèi)容返回給攻擊者，而不會(huì)提醒受害者。概念驗(yàn)證只是這種新型攻擊的一種實(shí)現(xiàn)方式，在未來(lái)的幾天中可能會(huì)出現(xiàn)變體。漏洞分為兩類：

Direct Exfiltration：影響蘋果 macOS、iOS 郵件客戶端，還有 Mozilla Thunderbird，利用這種漏洞，攻擊者可以發(fā)一封郵件，自動(dòng)解碼受害者發(fā)送的加密信息并分享內(nèi)容。研究人員相信，這個(gè)漏洞只要安裝補(bǔ)丁就能解決。

CBC/CFB Gadget Attack：影響的郵件客戶端更多，包括微軟 Outlook，漏洞的威力如何，具體要看用的是 PGP 還是 S/MIME 加密方式。如果是 PGP 加密，每嘗試三次會(huì)有一次成功，如果是 S/MIME 加密，一封郵件一次最多可以破解 500 條信息。

影響范圍

一、針對(duì) S/MIME 客戶端的驗(yàn)證測(cè)試結(jié)果：

紅色：泄露渠道（無(wú)需用戶交互）

橘色：泄露渠道（需用戶交互）

綠色：未發(fā)現(xiàn)泄露渠道

二、針對(duì) PGP 客戶端的驗(yàn)證結(jié)果：

紅色：泄露渠道（無(wú)需用戶交互）

綠色：不受影響

三、直接泄露的測(cè)試結(jié)果：

紅色：泄露渠道（無(wú)需用戶交互）

橘色：泄露渠道（需用戶交互）

如果想從底層架構(gòu)對(duì) PGP 和 S/MIME 進(jìn)行修復(fù)，可能需要更長(zhǎng)時(shí)間。建議用戶暫時(shí)禁用或卸載 PGP 和 S/MIME。

解決方案

電子前沿基金會(huì)（EFF）已發(fā)布禁用 PGP 及相關(guān)插件的指南，但該組織表示，這些解決方案只是暫時(shí)的權(quán)宜之計(jì)。

EFF 建議，急需使用電子郵件加密工具的用戶使用支持端對(duì)端加密的即時(shí)通訊客戶端進(jìn)行通信。此外，EFF 特別建議用戶立即禁用以下插件或工具：

Thunderbird with Enigmail

Apple Mail with GPGTools

Outlook with Gpg4win

另外，研究人員強(qiáng)調(diào)稱，這些漏洞并未存在于加密算法的工作方式當(dāng)中，而是出在電子郵件加密工具/插件的工作方式當(dāng)中。