解密 .asc 文件中的 PGP 消息

解密 .asc 文件中的 PGP 消息

我的 Facebook 帐户最近被黑客入侵/盗用。我通过了 Facebook 的“识别”流程,并收到了一封电子邮件,主题为:“来自 Facebook [<一系列字母/数字>] 的加密通知”

电子邮件中有两个文件,我可以用 Mac 上的 text.app 打开。第一个文件名为“邮件附件”,除了标题和版本外,没有其他内容。第二个文件名为“encrypted.asc”,打开后----BEGIN PGP MESSAGE----,顶部是邮件内容,----END PGP MESSAGE----底部是邮件内容。邮件内容是一大堆我不知道该怎么读的乱码。我在 Facebook 上找不到任何说明。

在搜索时,我想知道主题行中的一系列字母/数字是否是解密 PGP 消息的“密钥”,但我找不到在哪里执行此操作。我不太懂技术,所以我需要具体的说明。有人能帮忙吗?

答案1

1.可见加密数据:

第二个名为“encrypted.asc”的文件打开后,顶部是 ----BEGIN PGP MESSAGE----,然后是消息,底部是 ----END PGP MESSAGE----。

这是 pgp 加密消息的 mime 特定声明的一部分:

Content-Type: multipart/encrypted;
 protocol="application/pgp-encrypted";
 boundary="ys...kdW7"

...

This is an OpenPGP/MIME encrypted message (RFC 4880 and 3156)
--randomID
Content-Type: application/pgp-encrypted
Content-Description: PGP/MIME version identification

Version: 1

--randomID
Content-Type: application/octet-stream; name="encrypted.asc"
Content-Description: OpenPGP encrypted message
Content-Disposition: inline; filename="encrypted.asc"

-----BEGIN PGP MESSAGE-----
Version: GnuPG v2

hRAMA/v7GLI2ARvTBT/9Fn3HM1pmvEpGlDZbjxAREE6Ubi00sajWq5YDu+NXwuRu
inwslI+l2h3WhEaIYVG+SjZvFcAkVsL6fBgLak805OwDL9LbSFMYovl14Pi4GvyG
...
-----END PGP MESSAGE-----

如果您的系统能够处理 PGP 加密邮件(邮件程序可以自行执行此操作或 MIME 处理程序配置正确且邮件程序可以将内容转发到适当的程序)并且存在“私钥”,则应显示解密的消息。

由于没有错误消息并且显示原始加密数据,因此消息的某些部分可能有缺陷或邮件程序无法处理 mime 标头:

您是否更改过电子邮件程序?——可能的情况是:

  • 通过更换设备或程序来更改邮件程序(例如从您的 PC/MAC/iPad 到您的智能手机或 WebMailer 界面等)
  • 重新安装软件
  • 重置配置

如果加密密钥来自您,那么您就必须期待在黑客入侵之前使用的设备上的密钥。解密所需的“私钥”不会神奇地复制到新的邮件程序中,但这种变化会破坏透明的解密过程。

特别是在 Apple 的设备上,我预计加密处理几乎不会被察觉,因此一些用户不会意识到它的存在。

不知道加密的存在很可能会破坏工作系统,从而导致您所描述的影响。

2. 电子邮件主题

我想知道主题行中的一系列字母/数字是否是解密 PGP 消息的“密钥”

如果主题包含不符合 7 位 ASCII 编码的字母(即西里尔字母),则需要使用 base64 进行编码。

将主题行粘贴到您的问题中会很有趣,这样就可以验证和解码。示例(在 Linux 系统上):

Subject: =?UTF-8?B?4q2Q4q2Q4q2Q4q2Q4q2QIDExOTcgUmV2aWV3cw==?=

相关部分位于最后两者之间?

4q2Q4q2Q4q2Q4q2Q4q2QIDExOTcgUmV2aWV3cw==
base64 -d <<<4q2Q4q2Q4q2Q4q2Q4q2QIDExOTcgUmV2aWV3cw==

⭐⭐⭐⭐⭐ 1197 Reviews

(抱歉,垃圾邮件标题,它刚好派上用场……)

由于您的电子邮件似乎是由 Facebook 自己发送的,因此他们不可能进行粗暴的攻击以隐藏加密消息之外的加密密钥。

3. Facebook 和 PGP 加密

关于这一点我无法告诉你太多,因为 Facebook 不是我“最喜欢”的。

但 Facebook 有一个选项可以以加密方式启用电子邮件通信:PGP @facebook 要了解什么是 PGP 以及如何通过 Facebook 处理它,此页面可以为您提供一个想法: 配置 PGP 加密的 Facebook 通知

本质上,Facebook 可以处理电子邮件的 PGP 加密以增强安全性,因为有时可能会出现有关购物和财务的敏感信息,而未加密的电子邮件并不安全(发送给您的每个人都可以阅读它,并且机器可以读取所有内容,而邮递员则不能......)。

4. 有关 PGP 和消息的更多信息

PGP 加密系统并非粗糙的专有事物,而是由 RFC4880.因此存在几个独立的解决方案来处理此类密钥和消息。

手边有基本的命令行工具总是有用的: 基努是一个很好的起点。安装后,命令gpg如下:

将加密消息保存为文本文件:

-----BEGIN PGP MESSAGE-----
<garbage>
-----END PGP MESSAGE-----

发出命令

gpg --verify message-file

如果私钥不在 GnuPG 的密钥环中,则不会解密该消息。但根据具体情况,这可能会泄露有关所用密钥的一些管理信息。

当导入密钥时,您可能会获得相同甚至更多的信息,这些信息已从您的 Facebook 个人资料保存到文本文件中。

首先将密钥导入到密钥环:

gpg --import keyfile.asc

然后展示一些细节:

gpg --list-keys
gpg --list-sigs

也许您会发现一些有帮助的详细信息(姓名、电子邮件地址?)。

将从消息中提取的信息与您个人资料中的密钥进行比较可能也很有趣:
它应该使用与邮件声称来自 Facebook 相同的密钥(但无法保证真实性,因为黑客可能已经复制了“公钥”并现在用它来欺骗您。)。

5. 如果这不是你的加密密钥

您遇到的问题是,您的 fb 帐户已被盗,现在(在您未进行交互的情况下)邮件已被加密。

如果上述解密链中断不是问题所在,那么很有可能,黑客已经激活了加密,而您没有解密消息的私钥(见下文)。因此,他们可以阅读消息(如果他们收到消息),而您却不能!

  1. 考虑让警察介入的选项。他们需要你的帮助来抓捕嫌犯。——为了使此选项有效,你应该在更改之前存储所有内容。——交出这些信息是你可以稍后决定的步骤。
  2. 在您的 Facebook 帐户中搜索第二个电子邮件地址(或类似地址),Facebook 邮件可能会作为副本发送到该地址。
    很有可能,黑客设法收到您的电子邮件副本以获取敏感信息,并可能在适当的时候通过加密电子邮件进行干预,锁定您的帐户并进行一些财务或购物转账。
    => 将调查结果存档并将其从您的帐户中删除。
外键应该与您自己的密钥进行交换:

在启用您自己的密钥之前,您应该启用您的电子邮件程序来处理 PGP 加密邮件,并导入 Facebook 的“公钥”,这样您也可以向他们发送加密邮件。(这应该是 superuser.com 上的一个单独问题)

  1. 生成自己的密钥
  2. 将您 fb 帐户中当前使用的“公钥”复制到文本文件中以进行取证(包括标记-----BEGIN PGP PUBLIC KEY BLOCK----------END PGP PUBLIC KEY BLOCK-----(重要的是,如果您想让警方参与并想要了解有关密钥的更多信息)
  3. 删除 Facebook 当前的“公钥”
  4. 在 Facebook 上输入您自己新创建的“公钥”,以便他们加密发送给您的邮件(这是一件好事)。

相关内容