PGP安全性漏洞

1.PGP技術存在嚴重缺陷 加密電子郵件不安全 安全專家8月12日警告道，通過欺騙收件者對郵件進行回復，互聯網駭客能夠破解加密的電子郵件。 這一問題影響使用PGP技術的軟體。  哥倫比亞大學和Counterpane互聯網安全公司的研究人員發現，截取電子郵件的駭客只要對電子郵件重新包裝，併發送給收件者，就可以破譯加密的電子郵件。 發給收件者的電子郵件將顯示亂七八糟的資訊，很可能促使收件者要求寄件者重新發送一次。  如果收件者將收到的郵件內容連同請求一塊發送給寄件者━━一般使用者都會將電子郵件用戶端軟體配置成這樣，駭客就能夠讀取原來的電子郵件內容。  Counterpane公司的技術總監布魯斯表示，大多數使用者做夢也想不到，只是要求寄件者重新發送一次電子郵件，系統的安全就會受到破壞。  截取電子郵件非常簡單，只要使用象「嗅探器」這樣的軟體即可，企業也可以用這樣的軟體來監測員工使用網路的情況。 互聯網工程任務小組OpenPGP標準的首席作者卡拉斯表示，儘管這一安全缺陷非常嚴重，但要利用它卻非常困難。 許多PGP軟體在發送電子郵件前都會對電子郵件進行壓縮。 研究人員通過研究顯示，壓縮在許多情況下會對非法的解譯構成一定的困難。 今天已經發佈瞭解決了這一問題的新版OpenPGP標準。  布魯斯和卡拉斯還建議，收件者在收到PGP電子郵件後，應當儘量避免在回復時包含完整的原電子郵件。 2.點擊回復即中招 郵件加密軟體PGP出現漏洞 沒有一種安全是絕對的，尤其是在日新月異的電腦網路技術方面。 來自美國哥倫比亞大學和康特培網際網路安全公司的研究人員8月12日發表論文指出，用於給電子郵件加密的最著名的PGP軟體存在漏洞，駭客或其他截獲加密郵件的人只需誘使郵件收信人點擊「回復」鍵，就可能破譯出被加密郵件的全部內容。  這些人的做法是，截獲加密郵件後，通過對郵件資訊的重新封包擾亂原有的加密方式，然後再傳遞給收信人。 這時收信人看到的就會是一系列亂碼。 通常，大多數人會回復該郵件，要求發信人重發。 而如果這封回復的郵件裡包括了那些亂碼——被擾亂的原有郵件（許多人都在郵件軟體中設置了回信包括來信的功能），駭客就能得到最初加密郵件的全部內容了。  康特培網際網路安全公司技術總監布魯斯·施奈爾說：「很多人做夢也想不到，把一堆亂碼放在回信裡，郵件就不安全了。 」  PGP軟體全稱為「Pretty Good Privacy」，通過複雜的數學編碼來加密郵件。 該軟體由總部位於矽谷的美國網路聯盟公司開發，僅2000年就有700萬人使用了這一軟體。 3.Email加密軟體有漏洞 駭客可解密私人資訊 美國紐約消息，美國哥倫比亞大學的幾位電腦安全性研究人員8月12日警告稱， 那些專門在互聯網上從事竊取他人資訊活動的人僅僅通過誘使電子郵件接收人點擊答覆按鍵即可對保密的郵件資訊加以解密。  研究人員指出，在包含Pretty Good Privacy這種深受使用者歡迎的電子郵件自動回覆工具的加密軟體中發現了一種安全性漏洞， 這種漏洞使得網路駭客通過將加密的郵件重新封包發還給郵件接收者並誘騙他們點擊答覆鍵即可解密私人郵件。  參與這項研究的Counterpane公司的首席技術官布魯斯-施奈德表示，大多數網路使用者肯定做夢都沒有想到網路駭客能夠如此輕而易舉地解密他們的保密資訊。  此前，為了防止保密資訊在互聯網上傳送的途中被人破獲，一些人權人士甚至美國聯邦調查局的工作人員開始使用PGP技術標準對電子郵件資訊和資料加密，但誰也沒有想到，這種加密技術本身存在的上述漏洞竟然可以讓壞人大鑽空子。 不過，專家指出，儘管這種漏洞較為嚴重，但也並非很容易就可以被壞人利用。  上述研究人員表示，大多數PGP套裝軟體在發送電子郵件之前都會將資訊進行壓縮，但實際上這一壓縮做法有時反而導致網路駭客能夠在未經授權的情況下對資訊進行解密。 值得慶倖的是，已經研製出了PGP技術的升級版並將在近日與使用者見面。  與此同時，研究人員提醒PGP電子郵件的接收者在按動答覆鍵之前最好避免將郵件中的全部文本資訊曝露給潛在的網路駭客。 最後，研究人員也特意指出，上述安全性漏洞並不會對用於加密電子郵件資訊的加密程式產生負面影響。 4.PGP爆出大漏洞 加密電子郵件可被輕易攻擊 在十多年來，美國政府一直把加密技術作為致命武器，現在仍然如此。 安全諮詢公司Foundstone週四稱，經過PGP演算法加密的電子郵件可以被用來輕易攻擊並控制受害者的電腦。   Foundstone在一份忠告中說：「由於PGP處理長檔名的一個漏洞，導致駭客可以控制郵件接收人的電腦，提高其在局域網中的許可權。 」  該公司將此漏洞劃分為高危險級別，並稱：「由於人們對該加密演算法的信任程度、易於實施性、以及大部分企業、軍隊及政府機構依賴PGP加密通訊。 」  該漏洞存在於PGP企業版7.1.0和7.1.1中，該軟體的開發商Network Associates在其網站上貼出了補丁程式。 該公司最近將全部PGP資產劃撥到新成立的PGP公司，然而將繼續提供對軟體的支援，雙方都未對此發表任何聲明。  Network Associates在其網站上稱，該漏洞是PGP處理加密檔中的長檔名時出現的，PGP對檔案名長於200個字元的檔進行加密/解密就會出現問題，當PGP對檔解密時會導致記憶體溢出，從而引發安全隱患。  Foundstone首席執行官George Kurtz說，長檔名對於郵件接收者不太明顯。  Kurtz還說：「像ZIP檔一樣，你可以對加密檔只取8個字元內的檔案名，但是壓縮包中的檔可以有長名字檔存在。 」Kurtz稱，該漏洞的最大危險在於它威脅到最受保護的資訊。 Kurtz還說到：「許多PGP使用者在心理上有一定安全感，從而使該漏洞成為高危險級缺陷，駭客可以攻擊受加密保護的最敏感的資訊。 」  該漏洞類似于7月份發現的Outlook軟體的PGP漏洞。 給力(0票)動心(0票)廢話(0票)專業(0票)標題党(0票)路過(0票) 原文：PGP安全性漏洞 返回網路安全首頁