呂守箴(OpenBlue) => 網路攻防戰~資安閒聊群組: 標題：研究人員攻陷OpenPGP與S/MIME，Apple Mail與Outlook等加密郵件內容恐曝光摘要：歐盟研究人員於本周警告，他們利用「可塑性工具」（Malleability Gadgets）技術，成功攻陷電子郵件的兩大端對端加密標準—OpenPGP與S/MIME，讓加密郵件以明文呈現，經測試有數十款郵件客戶端軟體受到影響，從Outlook、Apple Mail、Postbox、Thunderbird到Gmail等。研究人員先藉由CBC/CFB工具把惡意的指令注入加密郵件中，以濫用既有且標準的反向回轉通道（backchannels），例如以HTML、CSS或x509功能在解密後竊取完整的明文，這類的攻擊也適用於過去所蒐集的加密郵件，只要收信方解密了駭客所傳來的特製電子郵件，就能被觸發，並將其命名為EFAIL攻擊。研究報告下載處： Efail: Breaking S/MIME and OpenPGP Email Encryption using Exfiltration Channels (draft 0.9.0) https://efail.de/efail-attack-paper.pdf 原始資料： Here's How eFail Attack Works Against PGP and S/MIME Encrypted Emails https://thehackernews.com/2018/05/efail-pgp-email-encryption.html Critical Flaws in PGP and S/MIME Tools Can Reveal Encrypted Emails in Plaintext https://thehackernews.com/2018/05/pgp-smime-email-encryption.html 引用來源： https://www.ithome.com.tw/news/123169 #5afa9105af66534e81f7cc84

呂守箴(OpenBlue) says to 網路攻防戰~資安閒聊群組

標題：研究人員攻陷OpenPGP與S/MIME，Apple Mail與Outlook等加密郵件內容恐曝光摘要：歐盟研究人員於本周警告，他們利用「可塑性工具」（Malleability Gadgets）技術，成功攻陷電子郵件的兩大端對端加密標準—OpenPGP與S/MIME，讓加密郵件以明文呈現，經測試有數十款郵件客戶端軟體受到影響，從Outlook、Apple Mail、Postbox、Thunderbird到Gmail等。研究人員先藉由CBC/CFB工具把惡意的指令注入加密郵件中，以濫用既有且標準的反向回轉通道（backchannels），例如以HTML、CSS或x509功能在解密後竊取完整的明文，這類的攻擊也適用於過去所蒐集的加密郵件，只要收信方解密了駭客所傳來的特製電子郵件，就能被觸發，並將其命名為EFAIL攻擊。研究報告下載處： Efail: Breaking S/MIME and OpenPGP Email Encryption using Exfiltration Channels (draft 0.9.0) https://efail.de/efail-attack-paper.pdf 原始資料： Here's How eFail Attack Works Against PGP and S/MIME Encrypted Emails https://thehackernews.com/2018/05/efail-pgp-email-encryption.html Critical Flaws in PGP and S/MIME Tools Can Reveal Encrypted Emails in Plaintext https://thehackernews.com/2018/05/pgp-smime-email-encryption.html 引用來源： https://www.ithome.com.tw/news/123169

at Tue, May 15, 2018 3:49 PM