Perché non più servizi offrono la crittografia per le notifiche e-mail?

La gestione delle chiavi è la principale sfida e barriera per l'implementazione peer-to-peer della crittografia (sia che si tratti di posta elettronica o altro). Ci sono aziende (come Zixcorp) che semplificano la protezione dei dati per le organizzazioni più grandi. Zixcorp è più comunemente usato nel settore sanitario che bancario.

Altri fornitori come Messagelabs, Websense e altri fornitori di gateway di sicurezza e-mail offrono funzionalità simili a Zix in cui l'utente riceve la notifica di un messaggio e fa clic su un collegamento per recuperare il messaggio. Ciò elimina la gestione delle chiavi costringendo l'utente a recuperare il messaggio attraverso un canale protetto, ancora soggetto ad attacchi e falsificazioni, ma tale metodo è ancora in uso).

Fondamentalmente, le organizzazioni che hanno bisogno di inviare informazioni sensibili hanno diverse opzioni basate sulla loro filosofia sulla comunicazione con il cliente. Costringere gli utenti a connettersi ai loro server per recuperare le notifiche semplifica il flusso di comunicazione riducendo gli "hop" coinvolti e minimizzando la responsabilità centralizzando la memorizzazione dei dati. Ad esempio, se una banca utilizza Zix, chiavi GPG o qualche altro metodo tramite una terza parte per inviare comunicazioni, i costi generali sono legati al rischio della terza parte. Nel caso delle chiavi GPG, cosa succede se la banca sbaglia e invia le tue informazioni a qualcun altro utilizzando le chiavi GPG dei destinatari? Un tale evento è facilmente possibile - ricevo ancora le notifiche di pagamento e account da una grande società di finanziamento auto dopo che ho venduto la mia auto a qualcun altro.

Centralizzando la comunicazione, è molto più semplice per una banca proteggere i dati e ridurre la responsabilità.

Penso che sia la mancanza di un uso diffuso. Non riesco a pensare a nessuna ragione tecnica per cui la tua banca o qualsiasi altra parte non possa inviarti e-mail automatiche e crittografate, semplicemente penso che siano così poche le persone che usano qualsiasi forma di e-mail crittografata (e quindi la maggior parte del pubblico avere le chiavi pubbliche) che dal loro punto di vista non vale la pena considerare.

La prossima domanda è ovviamente "Come possiamo fornire un'e-mail sicura per le masse, senza dover insegnare loro le basi (apparentemente troppo complicate) di GPG?"

(Penso che tu stia davvero chiedendo di firmare l'e-mail, non di crittografarla. La firma è la primitiva crittografica pertinente, dal momento che vuoi verificare l'origine dell'e-mail.)

Panoramica. È tutt'altro che banale che la banca invii a tutti i suoi clienti un'email firmata. Ci sono tre sfide principali:

• Distribuzione. molti client email degli utenti non supportano la verifica delle firme, quindi questo non avrebbe alcun valore per loro.

• Gestione delle chiavi. come fanno gli utenti a ottenere la chiave pubblica della loro banca, in un modo non soggetto allo spoofing? Questi problemi non sono banali.

• Usabilità. Infine, il problema più serio: l'email firmata non è utilizzabile dagli utenti medi. È orribilmente fonte di confusione per gli utenti finali. A prescindere dal fatto che qualsiasi meccanismo di sicurezza che non è utilizzabile, non avrà molti vantaggi per la sicurezza, basti pensare a tutte le chiamate all'help desk che la banca riuscirà a ottenere. Ogni chiamata dell'help desk costa probabilmente alla banca $ 20-40, quindi sarebbe un costo serio. Ouch.

Dettagli. Per ulteriori informazioni su questo argomento, desidero indicarti alcuni articoli scientifici nella letteratura di ricerca:

• Viste, reazioni e impatto della posta con firma digitale nell'e-commerce . Simson L. Garfinkel, Jeffrey I. Schiller, Erik Nordlander, David Margrave e Robert C. Miller. FC 2005.

• Come rendere più facile l'uso dell'e-mail sicura . Simson L. Garfinkel, David Margrave, Jeffrey I. Schiller, Erik Nordlander, Robert C. Miller. CHI 2005.

• Johnny 2: un test utente per la gestione della continuità delle chiavi con S / MIME e Outlook Express . Simson L. Garfinkel, Robert C. Miller. SOUPS 2005.

Ad esempio, l'ultimo lavoro mostra che qualcosa come il 20-50% degli utenti non riesce a usare la posta elettronica firmata in modo sicuro, e quindi potrebbe essere ingannato da vari attacchi.