【安全资讯】OpenPGP.js漏洞允许加密信息伪造

概要：

网络安全研究人员近日警告，OpenPGP.js的JavaScript实现中发现了一个新漏洞，该漏洞允许伪造已签名和加密的信息。这一漏洞的发现严重威胁到公共密钥加密技术的核心目的，用户需尽快采取措施修复。

主要内容：

该漏洞被追踪为CVE-2025-47934，评级为高危（8.7）。漏洞源于openpgp.verify和openpgp.decrypt函数，恶意修改的信息可以通过这些函数返回一个有效签名的结果，而实际上并未被签名。研究人员表示，漏洞的详细报告和概念验证（PoC）将很快发布。受影响的版本包括5.0.1至5.11.2和6.0.0-alpha.0至6.1.0，用户被建议尽快升级到5.11.3或6.1.1版本。

该漏洞的根本问题在于OpenPGP.js在签名过程中缺乏适当的验证。攻击者只需获取一个有效的消息签名和合法签名的明文数据，即可构造伪造的已签名消息。对于已签名且加密的消息，攻击者需要首先获得有效签名，并使用该签名加密消息。Proton的密码学团队负责人Daniel Huigens建议，用户在升级之前，应仔细审查收到的每个看似已签名的消息，并逐一验证每个签名的合法性。

OpenPGP.js的主要用户是加密邮件服务提供商Proton Mail，该技术为用户提供端到端加密。2023年，Proton Mail注册账户超过1亿，尽管不清楚其中有多少账户处于活跃状态，但这一数字显示了全球用户对OpenPGP的依赖程度。