問:不少聽眾都會將自己與朋友之間的電郵加密,例如用PGP加密。只不過,歐盟的研究人員發現,只要黑客能取得你的戶口密碼,當你用Apple Mail或Thunderbird之類的電郵軟件讀取郵件時,能透過軟件對郵件HTML代碼翻譯過程,得知電郵內容。如果要防止這個漏洞,有沒有辦法?
李建軍:首先,這個漏洞與電郵軟件解讀HTML過程有關,由於加密元件都是以插件形式外加,所以變成了電郵軟件解讀HTML過程並未完全是一個加密過程,漏洞就是這樣出現。這要電郵軟件改變設計,才可以徹底解決問題。
因此,現時有兩個方法解決問題,如果電郵戶口有Web的版本,像Gmail,寧願用瀏覽器閱覽加密郵件,可以在Chrome瀏覽器上與PGP的解密插件配合,達致完美安全的保密,因為你閱覽瀏覽器上的HTML資料時,實際上使用與加密貨幣相同的ECDSA 256位元加密之下,在雙重保障下最安全,在可以用桌面和平板電腦情況下,應盡量使用瀏覽器閱覽加密郵件。
但如果電郵主機沒有Web版怎辦?那要閱讀加密郵件時,唯有關閉HTML解讀功能,避免黑客有機可乘。這次翻牆問答,我準備了視頻,示範如何在Mozilla Thunderbird的電郵軟件,關閉HTML閱讀功能,歡迎聽眾瀏覽本台網站,收看有關視頻。
但要注意的是,有些軟件可能關閉HTML閱讀功能後,變得無法瀏覽當中內容,聽眾要視乎平日瀏覽的郵件內容,以及維持安全上作出取捨,因為這個漏洞只是理論上可以發生,但暫時未有黑客真的具體實施成功,而當黑客成功利用這個漏洞的時候,Thunderbird以至其他電郵軟件開發商,已經成功尋求方法堵塞這個漏洞。
問:如果在iOS平台怎辦,因為iOS平台用Safari瀏覽Gmail等有點困難,而部分電郵主機,亦不一定有相對應的Web版本。
李建軍:如果在iOS平台,而你又使用Gmail,你可以考慮使用Gmail官方應用程式,因為官方應用程式就是像用瀏覽器查閱電郵一樣,全程經過加密。當然Gmail官方應用程式,未必能配合你慣用的加密方案。
如果電郵主機沒有Web版,比較安全的做法,是將未解密的PGP訊息抄到PGP解密程式,在程式中瀏覽郵件內容,這是相對而言安全的做法,因為PGP解密程式,普遍都是安全,未有漏洞存在。
問:其實加密電郵是否一個適合傳遞機密訊息的媒介?因為好像都有不少問題。
李建軍:本來電郵的設計,就不是用於這些需要保密的通訊,以安全度而言,點對點實時訊息軟件才是最安全,因為整個設計本身,就已經考慮到加密的問題。只不過,實時訊息軟件未必適合傳送檔案,特別一些手機並沒有相對應軟件打開的檔案,或由機構運作立場考慮,有些需要記錄的電郵,這是加密電郵應運而生的原因。
如果運作情況容許,可能翻牆後,在Google Drive或Dropbox提取檔案更適合,因為Google Drive以及Dropbox在設計上,都有考慮檔案安全的需要,做到絕大部分情況下都是加密。而你實際上要交換的訊息,可能只是一條共享的連結,那就不一定要用到電郵,其實使用實時訊息軟件也可完成任務。在現今這個年代,雖然電郵未有一個合適的替代品,但由於電郵的設計久遠,本身亦有不少潛在的保安隱患,而現時這個由歐盟研究人員發現的保安漏洞,很可能只是電郵眾多問題或漏洞的其中一個。
0:00 / 0:00