pg模拟器在线试玩没那么“优良”——PGP加密邮件的EFAIL漏洞一组研究人员今天发布了一篇论文 ，描述了最流行的电子邮件加密标准PGP（包括GPG）中一类新的严重漏洞。这篇新论文包含一个概念验证漏洞，它可以让攻击者利用受害者自己的电子邮件客户端解密先前获取的消息，并将解密后的内容返回给攻击者，而不会提醒受害者。概念验证只是这种新型攻击的一种实现方式，在未来的几天中可能会出现变体。

　　由于概念验证的直接性质pg模拟器试玩入口，这些安全漏洞的严重程度，受影响的电子邮件客户端和插件的范围以及PGP用户需要和期望的高级别保护，EFF建议PGP用户暂停使用这工具，并寻求其他模式的安全端到端通信。

　　由于我们正在等待安全社区对文章中突出显示的漏洞的响应，因此我们建议您暂时卸载或禁用PGP电子邮件插件。这些步骤旨在作为暂时的，保守的权宜之计，直到漏洞利用的直接风险已经过去并被更广泛的社区减轻。由于供应商和评论员开发的解决方案较窄，因此可能会有更简单的缓解措施，但这是目前最安全的措施。因为将PGP加密的电子邮件发送给未打补丁的客户端会产生不利的生态系统激励来打开传入的电子邮件，其中任何一种都可能被恶意制作以暴露密文给攻击者。

　　尽管您可能不会受到直接影响，但加密对话中的其他参与者很可能会受到影响。对于这种攻击，原始秘密消息的发送者或接收者是否有针对性并不重要。这是因为PGP消息被加密到他们的全部两个密钥。

　　PGP ，代表“优良保密协议(Pretty Good Privacy)”，是菲尔·齐默曼在27年前首次发布的。PGP当时非常具有创新性，它改变了数字通信的隐私保护级别，并为精通技术的用户提供了对文件进行加密和向他们从未遇到的人发送安全电子邮件的能力。数十年来，其强有力的安全保护了记者，举报人，者和维权人士的信息。虽然PGP现在是一个私有工具，但是一个称为GNU Privacy Guard（GPG）的开源实现已经在很多环境中被安全社区广泛采用，并且在OpenPGP网际标准文档中进行了描述。

　　电子邮件是一种明文通信媒体，其通信路径部分受TLS保护。对于依赖数字通信机密性的敌对环境中的人（记者，活动家，举报人......）来说，这可能还不够。强大的攻击者如国家机构pg模拟器试玩入口，已知会大量人员的电子邮件通信。为了解决这个问题，针对这些强大的攻击者，OpenPGP专门针对敏感通信提供端到端加密 。S/MIME是电子邮件端到端加密的替代标准，通常用于保护企业电子邮件通信。

　　EFAIL描述了端到端加密技术OpenPGP和S/MIME中泄露加密电子邮件明文的漏洞。这些漏洞通常能够在目标打开由攻击者发送给他们的恶意制作的电子邮件时将电子邮件内容暴露给攻击者。在这些攻击中，攻击者获得了加密消息的副本，但无法对其进行解密。

　　EFAIL攻击利用OpenPGP和S/MIME标准中的漏洞揭示加密电子邮件的明文。简而言之，EFAIL滥用HTML电子邮件的活动内容，例如外部加载的图像或样式，通过请求的URL来渗透明文。要创建这些渗透通道，攻击者首先需要访问加密的电子邮件，例如通过网络流量，危害电子邮件帐户，电子邮件服务器，备份系统或客户端计算机。这些电子邮件甚至可能在数年前收集。

　　攻击者以特定的方式更改加密的电子邮件，并将更改后的加密电子邮件发送给受害者。受害者的电子邮件客户端解密电子邮件并加载任何外部内容，从而将明文泄露给攻击者。

　　第一种攻击是由于邮件客户端选择向用户显示HTML的细节导致的“直接泄出”攻击。攻击者制作一条包含旧加密消息的消息。新邮件的构建方式是邮件软件将整个解密的邮件（包括捕获的密文）显示为未加密的文本。然后，电子邮件客户端的HTML解析器立即将解密的消息发送或“解密”到攻击者控制的服务器。

　　直接泄出攻击滥用Apple Mail，iOS Mail和Mozilla Thunderbird中的漏洞直接泄露加密电子邮件的明文。这些漏洞可以在相应的电子邮件客户端中修复。这种攻击是这样的。攻击者创建一个包含三个正文部分的新的多部分电子邮件，如下所示。第一个是基本上包含HTML图像标签的HTML正文部分。请注意，该图像标记的src属性用了引号打开，但未闭合。第二个正文部分包含PGP或S/MIME密文。第三个是HTML主体部分，它闭合了第一个正文部分的src属性。

　　攻击者现在将此电子邮件发送给受害者。受害者的客户端解密加密的第二个正文部分，并将三个正文部分拼接成一个HTML电子邮件，如下所示。请注意，第1行中image标记的src属性在第4行中关闭，因此该URL跨越了所有四行。

　　电子邮件客户端然后将URL编码为所有不可打印的字符（例如，％20是空格）并请求来自该URL的图像。由于URL的路径包含加密电子邮件的明文，因此受害者的电子邮件客户端会将明文发送给攻击者。

　　其次，我们描述新的CBC/CFB小工具攻击，它滥用OpenPGP和S/MIME规范中的漏洞来泄漏纯文本，通过修改先前捕获的密文将电子邮件内容泄露给攻击者。以下是可能的简单语言的漏洞的一些技术细节：

　　当你给别人加密一条消息时，它将信息混淆成“密文”，这样只有收件人可以将其转换回可读的“明文”。但是对于一些加密算法，攻击者可以修改密文，而其余的消息仍然会解密回正确的明文。这个属性被称为可塑性。这意味着即使他们自己无法阅读，他们也可以更改您阅读的信息。

　　为了解决可塑性问题，现代加密算法增加了确保完整性的机制，或者确保接收方信息没有被篡改的属性。但是OpenPGP标准表示，发送没有完整性检查的消息是可以的。更糟糕的是，即使该信息确实带有完整性检查，也有已知的方法可以取消该检查。另外，当检查失败时，标准没有说明该怎么做，所以一些电子邮件客户只是告诉你检查失败，但是无论如何都要告诉你信息。

　　下图描述了S/MIME中CBC小工具的概念。由于CBC操作模式的具体标准，如果攻击者知道明文，攻击者可以精确地修改明文块。S/MIME加密电子邮件通常以“Content-type: multipart/signed”开头，因此攻击者至少知道一个完整的明文块，如（a）所示。然后，她可以形成一个规范的明文块，其内容全部为零，如（b）所示。我们将块对X和C 0称为CBC小工具。在步骤（c）中，她然后重复附加CBC小配件以将图像标签注入到加密的明文中。这会创建一个单一的加密正文部分，当用户打开攻击者电子邮件时会自行清除其明文。OpenPGP使用CFB操作模式 ，该模式具有与CBC相同的加密属性，并允许使用CFB小工具进行相同的攻击。

　　这里的区别在于，任何符合标准的客户都很容易受到攻击，并且每个供应商都可能做出自己的缓解措施，这些缓解措施可能会或可能不会阻止攻击。因此，从长远来看，有必要更新规范以查找和记录修复漏洞的根本原因的更改。

　　虽然CBC/CFB小工具攻击PGP和S/MIME在技术上非常相似，但成功攻击的要求差别很大。攻击S/MIME非常简单，攻击者可以通过向受害者发送单个精心制作的S/MIME电子邮件来打破多个（在我们的测试中多达500个）S/MIME加密电子邮件。考虑到我们研究的当前状态，针对PGP的CFB小配件攻击只有大约三分之一的成功率。原因是PGP在加密之前压缩了明文，这使猜测已知明文字节变得复杂。我们认为这不是EFAIL攻击的根本限制，而更多的是技术问题，并且攻击在未来的研究中会变得更有效。

　　第二个漏洞利用了OpenPGP缺乏强制性完整性验证和内置在邮件软件中的HTML解析器的组合。如果客户端没有完整性验证，攻击者可以修改捕获的密文，使邮件软件一旦以解密形式显示修改后的消息，电子邮件客户端的HTML解析器会立即将解密消息发送或“解密”到服务器，攻击者控制。为了确保安全，如果完整性检查没有检出，软件不应该显示密文的明文形式。由于OpenPGP标准没有指定如果完整性检查没有检出该怎么办，所以某些软件无论如何都会错误地显示该消息，从而使此攻击有效。

　　这意味着攻击者不仅可以在您打开电子邮件时访问加密邮件的内容，还可以使用这些技术访问您发送的任何加密邮件的内容，只要它们有一个密文副本。

　　现在有可能修复的是允许消息泄漏的特定漏洞：即，如果完整性检查没有检出，则比标准说明不渲染消息要好。更新协议并修补易受攻击的软件应用程序将解决此特定问题。

　　完全解决这个问题需要时间。一些软件补丁已经开始推出，但每个受影响软件的每个用户都是最新的，甚至在更新标准之前还需要一段时间。目前，信息安全研究人员和基于OpenPGP系统的编码人员正在研究这篇研究论文，以确定这个缺陷的范围。

　　我们处于一个不确定的状态，很难承诺用户可以期待PGP的保护级别，在不用快速变化和日益复杂的指令和警告的情况下。PGP的使用总是很复杂且容易出错; 有了这个新的漏洞，目前几乎不可能就如何在现代电子邮件客户端中使用它提供简单可靠的说明。

　　也很难告诉人们在电子邮件中永久不再使用PGP。没有其他电子邮件加密工具具有采用级别，多种实施方式和开放标准支持，这将允许我们推荐它作为PGP的完全替代品。（领先的替代方案S/MIME存在相同的问题，并且更容易受到本文中描述的攻击的影响）。然而，还有其他端到端的安全消息工具可提供类似的安全级别： 例如 ，Signal 。如果您在这个不确定时期需要安全通信 ，我们建议您考虑这些替代方案。

　　短期：不在电子邮件客户端中解密。防止EFAIL攻击的最佳方法是仅在您的电子邮件客户端以外的单独应用程序中解密S/MIME或PGP电子邮件。首先从您的电子邮件客户端中删除您的S/MIME和PGP私钥，然后通过将密文复制并粘贴到单独的应用程序中对您进行解密来解密传入的加密电子邮件。这样，电子邮件客户端就无法打开泄出通道。这是目前最安全的选择，其缺点是会涉及更多流程。

　　短期：禁用HTML渲染。EFAIL攻击滥用活动内容，主要以HTML图像，样式等形式出现。禁用在您的电子邮件客户端中显示传入的 HTML电子邮件将关闭攻击EFAIL的最显著方式。请注意，电子邮件客户端中还有其他可能的与HTML无关的反向通道，但这些反向通道更难以利用。

　　长期：更新OpenPGP和S/MIME标准。EFAIL攻击利用MIME，S/MIME和OpenPGP标准中的缺陷和未定义行为。因此，标准需要更新，这需要一些时间。

　　研究人员在PGP中利用的缺陷多年来被认为是标准中的一个理论弱点 - PGP许多最初的在其长期的发展中意义重大的小问题之一。

　　您可能会对PGP的未来，强大的加密以及电子邮件的长期可行性展开激烈的争论。许多人将今天的启示作为一个机会来突出PGP关于可用性和复杂性的诸多问题，并要求更好。他们没有错：我们的数字世界现在比以往任何时候都需要一个支持良好，独立，坚如磐石的公钥加密工具。同时，真正需要强大的隐私保护的相同目标人群将会再次等待安全地使用电子邮件的步骤。

　　我们发布最新公告，作为对信息安全和电子权利社区所有人的警示：不要对PGP及其专业，孜孜不倦，基本没有资金的开发人员和支持者进行指责或批评，而是团结和工作共同重塑成为21世纪最佳隐私工具的意义。在EFF暂时停止使用PGP（并且建议您也这样做）的同时我们将支持独立的强大加密，无论是来自重新生成的PGP还是来自整合和调整新一代强大的通用加密工具。我们还将继续努力，通过诸如STARTTLS Everywhere等举措来提高电子邮件生态系统的总体安全性。

　　PGP目前的形式为我们提供了很好的服务，但“优良保密”已经不够了。从现在开始，我们都需要为真的好的保密而努力。

　　EFF的建议： 暂时禁用或卸载PGP电子邮件插件 。不要解密您收到的加密PGP消息。相反，使用基于非电子邮件的消息平台（如Signal）来满足您的加密消息传递需求。使用离线工具解密您以前收到的PGP消息。在我们的Surveillance Self-Defense网站上查看有关客户端更新和改进的安全邮件系统的更新。

　　这两项技术都为您的电子邮件通信增添了一层安全保障。如果使用得当，两种技术都应该保证电子邮件的机密性和真实性，即使攻击者可以完全访问您的电子邮件帐户。EFAIL攻击破坏了这个额外的加密层。

　　EFAIL攻击通过强制客户将完整的电子邮件明文发送给攻击者来破坏PGP和S/MIME电子邮件加密。

　　“直接泄出”攻击：这利用了邮件客户端如何选择向用户显示HTML的细节。攻击者制作一条包含旧加密消息的消息。新邮件的构建方式是邮件软件将整个解密的邮件（包括捕获的密文）显示为未加密的文本。然后，电子邮件客户端的HTML解析器立即将解密的消息发送或“泄出”到攻击者控制的服务器。

　　密文修改攻击：第二个攻击滥用了OpenPGP标准中的某些细节的未详细规定，通过修改先前获得的加密电子邮件将电子邮件内容泄露给攻击者。这第二个漏洞利用了OpenPGP缺乏强制性完整性验证和内置于邮件软件中的HTML解析器的组合。如果客户端没有完整性验证，攻击者可以修改捕获的密文，使邮件软件一旦以解密形式显示修改后的消息，电子邮件客户端的HTML解析器会立即将解密消息发送或“泄出”到攻击者控制的服务器。为了确保安全，如果完整性检查没有检出，软件不应该显示密文的明文形式。由于OpenPGP标准没有指定如果完整性检查没有检出该怎么办，所以某些软件无论如何都会错误地显示该消息，从而使此攻击有效。此外，如果配合适合上下文的渗出通道，这种攻击方式可能不限于HTML格式的电子邮件的上下文。

　　记者，活动家或举报人使用额外的加密层，通常是PGP，因为他们担心有人可以访问他们的电子邮件通信。EFAIL攻击可以用来破坏这个额外的加密层。这导致任何人都可以访问他们的电子邮件通信也可以阅读受害者的电子邮件，即使他们使用额外的PGP加密。相同的攻击适用于通常用于企业基础架构的S/MIME。

　　不。EFAIL攻击要求攻击者可以访问您的S/MIME或PGP加密电子邮件。因此，只有当攻击者已经有权访问您的电子邮件时才会受到影响。但是，PGP或S/MIME加密的目标是防止此类攻击者。对于依赖PGP和S/MIME加密的用户来说，EFAIL攻击可能是一件大事！

　　如果以前电子邮件的PGP加密内容通过此攻击发送给您新的电子邮件，并且您在启用了PGP软件的未打补丁电子邮件客户端中打开该电子邮件，则可以被攻击者读取。为了查看您的加密电子邮件存档，我们建议使用命令行。

　　您可以通过命令行解密这些电子邮件。如果您不愿意，请通知您的联系人，PGP暂时不再安全地用于电子邮件客户端，并决定对话是否可以通过另一个端对端加密平台（如Signal）继续进行。

　　我们的分析显示，35个受测试S/MIME电子邮件客户端中的25个和28个受测试OpenPGP电子邮件客户端中的10个存在EFAIL明文泄出通道。虽然有必要更改OpenPGP和S/MIME标准以可靠修复这些漏洞，但Apple Mail，iOS Mail和Mozilla Thunderbird的实施漏洞更为严重，允许直接泄出明文，这在技术上很容易执行。

　　不确定。您当然可以在收件箱中搜索指示EFAIL攻击的恶意电子邮件。例如，对这些攻击的强烈指示可能是带有未封闭的img标签的畸形电子邮件，其后是加密的内容，或将明文泄出到外部URL的加密的内容。但是请注意，电子邮件是使用发件人的密钥以及所有接收方加密的。攻击者可以将任何这些方作为目标以泄露对您而言很重要的内容。在攻击者控制电子邮件服务器的高级攻击情况下，她可能在受害者处理后删除了恶意电子邮件。

　　TLS是一种传输层加密技术，用于加密电子邮件客户端和电子邮件服务器之间或两个电子邮件服务器之间的网络流量。但是，电子邮件在服务器和电子邮件帐户中以明文处理和存储。任何攻击者通过损害电子邮件帐户或电子邮件服务器访问这些电子邮件都可以阅读和更改这些电子邮件。PGP和S/MIME用于保护电子邮件的机密性和完整性，以防攻击者可以访问电子邮件。

　　否。攻击者可以将加密文本/仅电子邮件更改为HTML电子邮件。您需要禁用查看 HTML电子邮件以增强对EFAIL攻击的防护。

　　看情况。使用所有收件人和发件人的公钥对S/MIME或PGP加密电子邮件进行加密。只要一个参与者易受攻击，攻击者就可以执行EFAIL攻击。为了防止EFAIL攻击，所有参与者都必须使用安全的电子邮件客户端。

　　关闭发送HTML电子邮件不会阻止这种攻击。对于某些已公布的攻击，关闭查看HTML电子邮件可能会阻止您的邮件被泄漏给攻击者。但是，由于PGP电子邮件已加密给发件人和每个收件人，因此它不会保护这些邮件不会被您与之通信的其他人泄露。此外，关闭HTML电子邮件可能无法保护这些邮件免受未来发现的攻击，这些攻击是基于当前漏洞的。

　　关闭阅读HTML电子邮件，同时仍然发送PGP加密消息，鼓励其他人阅读这些与他们自己的潜在易受攻击的客户端。这促进了一个生态系统，将这些消息的内容（以及任何过去被他们解密的消息）置于危险之中。

　　不会。PGP和S/MIME电子邮件将显示在电子邮件程序中，而不管它们是否已签名或现有签名是否有效。即使签名确实很重要：攻击者可以将更改后的密文复制到单独的电子邮件中，并使用自己的名字创建有效的签名。

　　不。EFAIL攻击针对的是拥有私钥并在电子邮件客户端中解密我们准备好的电子邮件的受害者。如果私钥丢失，EFAIL攻击将无助于恢复加密的邮件。

　　不。使用EFAIL攻击，攻击者可以检索加密的OpenPGP和S/MIME消息的明文。她不直接访问私钥。

　　现在是。尽管我们还没有看过，但可能有边缘案例。例如，如果您使用敏感文件加密目录，攻击者可能会更改这些加密文件以包含虚假信息甚至恶意软件。如果受害者解密目录并打开任何文件，恶意软件甚至HTML文件都可能被用来泄露明文甚至危害系统。

　　明文中的引号可能会结束用于泄出明文的URL，以至引号后的字节不会被泄露，或者漏洞可能根本不起作用。由于CBC和CFB操作模式的特性，攻击者可以将单个S/MIME或PGP密文拆分为多个部分，并使用单独的HTML标签（但仍在一封电子邮件中）独立地进行渗透。如果一部分包含引号，那么只有该部分中的残余明文字节丢失。尽管存在这些技术障碍，攻击者仍然可以使用一大堆技术来渗透全明文。

　　由于PGP被用作通信工具，因此使用未打补丁的客户端向其他人发送消息也会使您的消息处于危险之中。将PGP消息发送给其他人也会增加他们转向易受攻击的客户端解密这些消息的风险。直到足够的客户端得到可靠的修补，发送PGP加密的消息可能会给其他人解密这些消息带来不利的生态系统激励。平衡继续使用PGP的风险可能会非常棘手，并且将严重依赖于您自己和您的联系人的情况。

　　可以！验证使用PGP签名的软件不容易受到此类攻击。实施签名验证的包管理系统（如Linux的某些发行版）也不受影响。

　　某些电子邮件客户端受到的影响比别的更多，而这些客户端背后的团队正在积极致力于缓解所提出的风险。该论文描述了主要电子邮件客户端的直接泄出（表4，第11页）和反信道（表5，第20页）。即使您的客户端修补了当前的漏洞，也可能会发生新的攻击。

　　虽然您可能不会受到直接影响，但加密对话中的其他参与者可能会受到影响。对于这种攻击，发送者或原始秘密消息的任何接收者是否是针对的并不重要。这是因为PGP消息被加密到他们的每个密钥。

　　将PGP消息发送给其他人也会增加您的收件人转向易受攻击的客户端解密这些消息的风险。直到足够的客户端得到可靠的修补，发送PGP加密的消息可能会给其他人解密这些消息带来不利的生态系统激励。

　　底层OpenPGP标准（特别是OpenPGP缺乏强制性完整性验证）的弱点导致了文中给出的攻击之一。尽管有其先前存在的弱点，OpenPGP仍然可以在一定的限制范围内可靠地使用。当使用PGP对静态文件进行加密或解密时，或者通过严格的签名检查来验证软件时，PGP仍然按照预期行事。

　　OpenPGP还使用如SHA-1的底层加密原语，这些原语不再被认为是安全的，并且缺乏经过身份验证的加密（AE）的好处，并且签名可以从消息中简单地删除。随着时间的推移，将需要开发更新的标准来解决规范中的这些更基本的问题。不幸的是，引入修复来引入认证加密而不旋转密钥以严格执行使用限制将使OpenPGP容易受到向后兼容性攻击。这将必须在未来的任何标准中解决。

　　总之，OpenPGP在一定程度上可以被信任。对于敏感通信的长期安全性，我们建议您迁移到另一个端到端加密平台。

　　一般来说，保持系统上的PGP（或GPG）应该不受已知漏洞的威胁，只要它与上述电子邮件断开连接。一些Linux系统依靠GPG进行软件验证，PGP对于手动验证软件仍然有用。卸载PGP软件可能会使您的密钥无法访问，并且在某些情况下也会阻止您解密过去的消息。

　　我们将在未来几周密切关注这个问题。电子邮件客户端和PGP插件的作者正在积极努力修补此漏洞，因此您应该期待即将发布的更新。

　　但是，还有其他端到端安全消息传递工具可提供类似的安全级别：例如Signal。如果您在这个不确定时期需要安全通信，我们建议您考虑这些替代方案。

　　不幸的是，我们不建议在电子邮件客户端中使用PGP，直到它们已经在您的设备和收件人的设备上进行了修补。这些补丁的时间表因客户端而异。我们建议从您的电子邮件客户端断开PGP，直到适当的缓解措施发布。

　　在如此短的时间内评估新的软件配置非常困难。一些电子邮件客户端比其他电子邮件客户端更容易受到此攻击。但是，使用这些电子邮件客户端可能会使其他人处于危险之中。我们建议使用命令行解密存档的电子邮件，并转移到另一个端对端平台进行对话，至少在我们确信PGP电子邮件生态系统已恢复到以前的安全级别之前。

　　是且不是。正如我们目前所了解的那样，如果您仅将PGP用于文件加密而没有电子邮件，则不存在将文件内容发送给攻击者的已知渗透通道。但是，根据特定PGP软件的实施者如何选择做的事情，内容可能仍然在传输过程中进行了您看不到的修改。这是由于漏洞的完整性降级。

　　此外，如果您使用PGP加密通过电子邮件发送的邮件，并且收件人使用易受攻击的电子邮件客户端pg模拟器试玩入口，则您的通信可能会解密。由于许多人可能使用电子邮件客户端访问PGP加密的电子邮件，因此与收件人一起澄清他们也已在其电子邮件客户端中禁用PGP或使用未受影响的客户端很重要。