安全专家8月12日警告道,通过欺骗收件人对邮件进行回复,互联网黑客能够破解加密的电子邮件。这一问题影响使用PGP技术的软件。
哥伦比亚大学和Counterpane互联网安全公司的研究人员发现,截取电子邮件的黑客只要对电子邮件重新包装,并发送给收件人,就可以破译加密的电子邮件。发给收件人的电子邮件将显示乱七八糟的信息,很可能促使收件人要求发件人重新发送一次。
如果收件人将收到的邮件内容连同请求一块发送给发件人━━一般用户都会将电子邮件客户端软件配置成这样,黑客就能够读取原来的电子邮件内容。
Counterpane公司的技术总监布鲁斯表示,大多数用户做梦也想不到,只是要求发件人重新发送一次电子邮件,系统的安全就会受到破坏。
截取电子邮件非常简单,只要使用象“嗅探器”这样的软件即可,企业也可以用这样的软件来监测员工使用网络的情况。互联网工程任务小组OpenPGP标准的首席作者卡拉斯表示,尽管这一安全缺陷非常严重,但要利用它却非常困难。许多PGP软件在发送电子邮件前都会对电子邮件进行压缩。研究人员通过研究显示,压缩在许多情况下会对非法的解译构成一定的困难。今天已经发布了解决了这一问题的新版OpenPGP标准。
布鲁斯和卡拉斯还建议,收件人在收到PGP电子邮件后,应当尽量避免在回复时包含完整的原电子邮件。
