La crittografia è una cosa, l'autenticazione è l'altra cosa. La crittografia impedisce a qualcun altro, ad eccezione del destinatario desiderato, di leggere l'e-mail. L'autenticazione impedisce a qualcun altro di spacciarsi per te.
Nelle normali e-mail non usi né la crittografia né l'autenticazione. Ciò significa che chiunque può inviarti un'e-mail che dichiara di essere chiunque desideri. Questo introduce due problemi:
- A.) Qualcuno può vedere ciò che scrivi
- B.) Qualcun altro può affermare di essere qualcuno che non sono
Ora, puoi argomentare che A.) non è davvero un grosso problema per la tua persona comune. Così qualcun altro su internet può leggere le tue e-mail. Non un grande affare. Tuttavia, B.) è un affare molto più grande anche per una persona media.
Qualcuno può inviare una brutta e-mail al tuo capo affermando di essere tu potenzialmente in grado di licenziare. Qualcuno può scrivere minacce a qualcuno che dichiara di avere potenzialmente conseguenze legali per lei. Fondamentalmente, chiunque può scrivere qualsiasi e-mail come tu.
Tuttavia, questo problema è parzialmente mitigato dai server che controllano se l'e-mail proviene almeno dal dominio come menzionato in From:
. Ad esempio, se invii un'e-mail a un server di posta di google utilizzando From: [email protected]
google eseguirà una ricerca inversa sull'IP (del mittente) e verificherà se corrisponde a me.com
e controllerà anche se hai record MX per il tuo dominio (DNS). Ciò impedisce ad alcuni di impersonare qualcuno da un altro dominio, ma Google non può realmente verificare se sia veramente hi
a inviare quella e-mail. Quindi, questa non è una soluzione completa al problema, ma lo attenua un po '.
Generare keypairs in realtà non è che difficile è solo che molti client di posta elettronica non dispongono di supporti integrati per farlo, ma sono necessari plug-in e siamo onesti - i plugin sono di solito un problema di usabilità. Se si integrasse perfettamente in un client di posta elettronica, sarebbe già un po 'più semplice. Tuttavia, dovresti ancora risolvere il problema di chi ti convalida / verifica. In teoria, potresti iniziare a utilizzare un sistema simile a PKI per il web ma per le e-mail che usano CA ecc. Ma probabilmente non succederà presto.