Firma ma non crittografia di e-mail generiche banali

Naviga le tue risposte
1

Supponiamo che il mio professore mandi una e-mail firmata ma non crittografata (S / MIME) a studenti come questo:

Dear students,

there will be no class tomorrow. I'm sick.

Regards Professor

Ora potrei semplicemente riprodurre questa mail il mese prossimo ai miei compagni di studio e il mio professore sarebbe l'unico a comparire in classe. Tutti gli altri studenti credono che questa mail sia valida, dal momento che è ancora firmata (dal mio professore) e inviata tramite un indirizzo di mittente fittizio.

La mia idea è che questa e-mail avrebbe dovuto essere indirizzata a un destinatario specifico ( Gentile studente A .. ). In questo modo ogni destinatario può semplicemente provare tramite testo in chiaro, se questa mail è indirizzata a lui / lei.

È corretto, che l'invio di banali lettere firmate ma non crittografate (o crittografate, quindi firmate) come questa dovrebbe essere evitato, dal momento che potrebbe essere rivolto contro di te?

    
posta user1511417 07.12.2017 - 17:30
fonte

1 risposta

4

Se l'email era indirizzata a uno studente specifico, lo stesso attacco di replay sarebbe possibile se intercettassi l'email in transito.

Il problema con questa email non è la vaghezza del destinatario, è la vaghezza del contenuto. Non specifica cosa sia "domani". Se l'e-mail dicesse "non ci sarà classe l'8 dicembre 2017", questo "attacco di replay" verrebbe sventato.

Potrebbe anche essere sventato se S / MIME includesse l'intestazione della posta con la data. Esiste un modo standard per farlo a partire da S / MIME 3.1 (incorporando il messaggio in un altro messaggio come tipo di supporto message/rfc822 ). Il destinatario potrebbe quindi vedere che si tratta di una vecchia e-mail e che è indirizzata a qualcun altro (a meno che non si tratti di un'e-mail con più destinatari). Ma non sono sicuro di quanto sia supportato dai client di posta elettronica.

A proposito, secondo me dovrebbe essere un'etichetta comune nella comunicazione e-mail per evitare date relative per una ragione completamente diversa: non puoi dire quando il destinatario legge la tua e-mail. Quando il destinatario leggerà la posta domani mattina e non controllerà quando è stata inviata, allora crederà che "domani" si riferisce a ciò che avresti considerato "dopodomani". Questo problema viene amplificato se ti trovi in diversi fusi orari. Il tuo "domani mattina" potrebbe essere il tuo destinatario "questa sera".

    
risposta data 07.12.2017 - 17:46
fonte

Leggi altre domande sui tag

È possibile aggirare le vulnerabilità di Meltdown / Spectre non installando nuovo software su un server? Le attuali implementazioni per l'autenticazione a più fattori non dipendono in gran parte da un singolo punto di errore?