Dimostra la proprietà di un account GMail

Naviga le tue risposte
3

Esiste un modo per una persona di dimostrare in remoto e in modo irrefutabile la proprietà di un indirizzo email Gmail? Ho preso in considerazione l'utilizzo delle firme DKIM, ma questo ha problemi:

PGP Key Signing Robot DKIM Email verificate

Ho anche preso in considerazione l'utilizzo delle API di Google OpenID o OAuth, ma credo che tu possa elencare altre email come indirizzo principale nel tuo account Google. In particolare, lo stato dei documenti Google: "L'indirizzo email dell'utente. Potrebbe non essere univoco e non è adatto per l'uso come chiave primaria." Mentre l'API segnala se l'email è stata verificata, è non mi è chiaro se la verifica è più sostanziale di un semplice ciclo di email. link

Comprendo che ci sono ottimi motivi per cui Google rende difficile il collegamento delle e-mail agli account degli utenti. Tuttavia, sarebbe bello se un utente potesse scegliere di dimostrare questa associazione.

Modifica per chiarimenti : Il contesto qui è quello di firmare le chiavi PGP o di concedere certificati S / MIME collegati all'e-mail. Vuoi essere sicuro che il certificato che stai firmando sia stato inviato da qualcuno con i privilegi di invio / ricezione in buona fede, e non qualcuno che falsi un campo "da:", o che si trovi nel percorso tra il provider di posta del firmatario e Google (il firmatario fornitore di posta elettronica). Qui, l'identità della vita reale non ha importanza. Non mi interessa chi è qualcuno. Mi interessa solo che la persona che effettua la richiesta sia anche la persona che ha il nome utente / password dell'account email richiesto (o, suppongo, funzioni per Google ...). Lo scopo qui è quello di avviare forme di comunicazione più sicure.

L'argomento qui è che il ciclo email standard è insufficiente. L'email è soggetta a falsificazione e intercettazione. Tuttavia, potrebbero esserci metodi sicuri al di fuori del canale (ad esempio OAuth o la pubblicazione di una chiave pubblica su Google+). Se non altro, un tale approccio fornirebbe ulteriori elementi di prova oltre il già esistente ciclo di posta elettronica. Sfortunatamente, né OAuth, né Google+, né i commenti di YouTube, ecc. Possono essere collegati in modo affidabile a un indirizzo email.

    
posta afourney 07.12.2015 - 21:23
fonte

1 risposta

3

Seguendo le idee elencate nei commenti sopra (grazie a Neil et al.) ho trovato il rapporto sulla trasparenza di Google Email:

link

Ciò rende molto chiaro che la messaggistica di Gmail > Gmail è crittografata:

Is email from Google users to other Google users encrypted in transit?

Yes. This includes Gmail, Google Apps and notifications from Google+. That's why this report is focused on email deliveries where Google is only one of two providers involved.

Quindi penso che questo risolva il problema.

Quando si riceve la posta elettronica in arrivo su un account Gmail, è possibile controllare la firma DKIM per verificare l'e-mail originata da un server SMTP di Google (e quindi crittografata fino alla propria casella di posta Gmail)

Nella direzione dell'output, la tua email è originata dai servizi Google e quindi verrà crittografata fino alla casella di posta in arrivo di Gmail del destinatario.

Se qualcuno può inviare e-mail e rispondere a una sfida inviata via e-mail (tutto all'interno di Gmail), allora penso che sarebbe una prova molto convincente della proprietà dell'account. Ovviamente, un ingegnere di Google potrebbe ancora ispezionare i messaggi a riposo, ma sono disposto ad accettare che tali individui si trovino nella classe di "autorizzati a inviare / ricevere email da quell'account email".

    
risposta data 08.12.2015 - 05:59
fonte

Leggi altre domande sui tag

XSS via -confirm () - È possibile registrare contemporaneamente due client TOTP e generare gli stessi token?