刘超转自自由亚洲
问:不少听众都会将自己与朋友之间的电邮加密,例如用PGP加密。只不过,欧盟的研究人员发现,只要黑客能取得你的户口密码,当你用Apple Mail或Thunderbird之类的电邮软件读取邮件时,能透过软件对邮件HTML代码翻译过程,得知电邮内容。如果要防止这个漏洞,有没有办法?
李建军:首先,这个漏洞与电邮软件解读HTML过程有关,由于加密元件都是以插件形式外加,所以变成了电邮软件解读HTML过程并未完全是一个加密过程,漏洞就是这样出现。这要电邮软件改变设计,才可以彻底解决问题。
因此,现时有两个方法解决问题,如果电邮户口有Web的版本,像Gmail,宁愿用浏览器阅览加密邮件,可以在Chrome浏览器上与PGP的解密插件配合,达致完美安全的保密,因为你阅览浏览器上的HTML资料时,实际上使用与加密货币相同的ECDSA 256位元加密之下,在双重保障下最安全,在可以用桌面和平板电脑情况下,应尽量使用浏览器阅览加密邮件。
但如果电邮主机没有Web版怎办?那要阅读加密邮件时,唯有关闭HTML解读功能,避免黑客有机可乘。这次翻墙问答,我准备了视频,示范如何在Mozilla Thunderbird的电邮软件,关闭HTML阅读功能,欢迎听众浏览本台网站,收看有关视频。
但要注意的是,有些软件可能关闭HTML阅读功能后,变得无法浏览当中内容,听众要视乎平日浏览的邮件内容,以及维持安全上作出取舍,因为这个漏洞只是理论上可以发生,但暂时未有黑客真的具体实施成功,而当黑客成功利用这个漏洞的时候,Thunderbird以至其他电邮软件开发商,已经成功寻求方法堵塞这个漏洞。
问:如果在iOS平台怎办,因为iOS平台用Safari浏览Gmail等有点困难,而部分电邮主机,亦不一定有相对应的Web版本。
李建军:如果在iOS平台,而你又使用Gmail,你可以考虑使用Gmail官方应用程式,因为官方应用程式就是像用浏览器查阅电邮一样,全程经过加密。当然Gmail官方应用程式,未必能配合你惯用的加密方案。
如果电邮主机没有Web版,比较安全的做法,是将未解密的PGP讯息抄到PGP解密程式,在程式中浏览邮件内容,这是相对而言安全的做法,因为PGP解密程式,普遍都是安全,未有漏洞存在。
问:其实加密电邮是否一个适合传递机密讯息的媒介?因为好像都有不少问题。
李建军:本来电邮的设计,就不是用于这些需要保密的通讯,以安全度而言,点对点实时讯息软件才是最安全,因为整个设计本身,就已经考虑到加密的问题。只不过,实时讯息软件未必适合传送档案,特别一些手机并没有相对应软件打开的档案,或由机构运作立场考虑,有些需要记录的电邮,这是加密电邮应运而生的原因。
如果运作情况容许,可能翻墙后,在Google Drive或Dropbox提取档案更适合,因为Google Drive以及Dropbox在设计上,都有考虑档案安全的需要,做到绝大部分情况下都是加密。而你实际上要交换的讯息,可能只是一条共享的连结,那就不一定要用到电邮,其实使用实时讯息软件也可完成任务。在现今这个年代,虽然电邮未有一个合适的替代品,但由于电邮的设计久远,本身亦有不少潜在的保安隐患,而现时这个由欧盟研究人员发现的保安漏洞,很可能只是电邮众多问题或漏洞的其中一个。