0

在我的 Gentoo 系统上,调用

equery d -D openssl | grep -i thunderbird

我发现电子邮件程序thunderbird 和openSSL 之间存在许多依赖关系。

我正在使用 Thunderbird 插件 openPGP 来加密和签署我通过电子邮件发送的一些更重要的内容。我的密钥集是使用 openPGP 生成的,据我所知,私钥从未离开我的计算机。

现在的问题是:假设我的电子邮件提供商正在使用可利用的 openssl 版本之一,并且知道我直到昨天才在自己的 Linux 系统上这样做,那么攻击者是否可以在我发送已签名的文件时从我自己的计算机上获取我的私钥电子邮件?

4

1 回答 1

1

Heartbleed 错误是否需要我更换我的 openPGP 密钥集?

可能不是。Heartbleed不是远程代码执行 (RCE),因此只有依赖于 OpenSSL 的可执行文件中的机密需要恢复,并且需要重新生成其密钥材料(如私钥、密码、令牌或会话 cookie)。

如果依赖于 OpenSSL 的可执行文件加载了您的 openPGP 密钥,那么可以。

于 2014-04-21T04:58:02.357 回答