姜啟明
姜啟明
【新三才編譯首發】多年來,「公鑰」一直是網上可信任的技術。隨機文本的長頁塊表示使用者可使用PGP技術來發送和接收加密的消息。
但由於公鑰的使用普遍後,研究人員已經確定其加密技術可被破解,研究甚至還發現了政府和企業使用S/MIME加密的漏洞。所發現的漏洞也削弱了新聞來源通信和人權團體之間的安全感,這些團體在愛德華斯諾登等隱私積極分子的敦促下大力推行該技術。
這是一些專家認為加密技術已經過期的警鐘。加州大學伯克萊分校的計算機科學教授Nicholas Weaver說:「如果你想保密通信,你就不能使用電子郵件,儘管他相信很少有人可以利用這些漏洞。」
美國國土安全部美國計算機應急準備小組上週警告說,這些漏洞會影響從蘋果公司到微軟的電子郵件供應商,該辦公室「目前還沒有意識到這個問題的實際解決方案。」
一個新發現的漏洞neuters PGP,黑客可以攔截電子郵件並創建一個「解密通道」,並將解密後的電子郵件明文發送到黑客控制的服務器。
第二個漏洞則會影響PGP和S/MIME政府使用的工具。這些工具可以通過處理捕獲消息的明文,然後猜測原始消息的一小部分,從而破壞整個電子郵件的保護,來擊敗S/MIME和PGP保護。
用戶可以通過關閉電子郵件平台和插件上的自動解密功能來避免風險,而使用單獨的應用程序來解密郵件。
此漏洞僅影響一些PGP電子郵件工具,但該報告合著作者明斯特應用科學大學計算機安全專家Sebastian Schinzel承認:「挑戰之處在於首先獲得加密的電子郵件,因此攻擊者需要打入您的電子郵件帳戶、電子郵件服務器、備份等」。Schinzel說未來研究人員可能還會發現更多其他漏洞。
PGP自20世紀90年代以來一直存在,它廣泛地使用瀏覽器插件,消除了使用解密應用程序的挑戰。諸如ProtonMail之類的免費電子郵件平台會自動在帳戶間發送的電子郵件中使用PGP加密。
許多電子郵件服務(例如Google的Gmail)提供加密功能,但服務提供者也握有鑰匙,這意味著政府可以要求讀取相關內容或黑客可以從公司竊取內容。在美國,當局不需要對超過180天的電子郵件發送許可證。相比之下,PGP允許用戶自己保存密鑰。插件可以將PGP保護添加到Gmail等平台。
理論上,PGP幾乎是不可戰勝的。斯諾登強迫記者Glenn Greenwald在與他進行溝通之前學習如何使用PGP,並且似乎證明了其加密能力。
約翰霍普金斯大學計算機科學教授Matthew Green表示,安全郵件「不是幻想,但供應商需要比現在更加努力地工作。」
著名計算機安全專家Bruce Schneier說,PGP和其他工具是「由人類編寫的軟件」,因此可能包含漏洞。他指出,微軟定期更新其軟件以提高安全性。不過,Schneier表示他建議不要使用PGP,而是使用Signal,他指的是在智能手機用戶中流行的端到端加密消息應用程序。他認為電子郵件是一件非常複雜的事情。反之Signal只是一個通信平台,因此它更容易做到保護。
(編譯:王明真)
(責任編輯:姜啟明)
(文章來源:新三才編譯首發)
