Rischi potenziali nell'invio di e-mail in puro testo con allegati crittografati?

Naviga le tue risposte
1

Per garantire la privacy nelle comunicazioni, crittografo e firmo le e-mail usando gpg4win. Tuttavia, a volte la comunicazione non funziona come previsto (GPGTools e Outlook / gpg4win sembrano incompatibili).

In questi casi chiedo alla controparte di inviare un allegato crittografato. Lo decrypt, quindi scrivo la mia risposta nel file, la crittografa e la rimando indietro. Le e-mail sono sempre in chiaro, ma gli allegati sono sempre criptati.

Il mio approccio, ad eccezione dell'usabilità, è un'opzione praticabile?

    
posta Kiril 17.11.2014 - 15:12
fonte

3 risposte

1

Le e-mail crittografate sono anche testo semplice. Questo potrebbe sembrare un paradosso, ma non è così. Quando si crittografa un messaggio e-mail, il corpo dell'email viene sostituito dal testo crittografato ASCII-blindato, che è una semplice rappresentazione BASE64 dei dati crittografati originali. Gli allegati sono anche in formato testo, tutti gli allegati vengono convertiti in BASE64 Prima di inserire il messaggio di posta elettronica. Se si cripta l'allegato prima di inviarlo, verrà crittografato, quindi convertito BASE64, quindi convertito BASE64 (quindi double-BASE64ing) quando lo si collega all'e-mail. (se l'applicazione PGP ASCII armature file crittografati).

Pertanto, lo scenario è sicuro quanto scrivere il messaggio direttamente nell'e-mail e crittografare l'e-mail.

    
risposta data 17.11.2014 - 18:47
fonte
1

Se gli algoritmi e i metodi sottostanti (ad esempio la firma inclusa) sono gli stessi, la dipendenza dalla crittografia effettiva non è diversa e nel mondo reale c'è poca differenza di rischio.

Da un punto di vista teorico della crittoanalisi si potrebbe sostenere che se il testo in chiaro che copre il contesto fornito per e-mail sarebbe di ausilio ad un attacco al testo cifrato, ma l'algo moderno lo rende in gran parte irrilevante. Si potrebbe anche obiettare che se l'intera e-mail è crittografata, un utente malintenzionato non saprebbe quale aspetto del testo cifrato è l'e-mail e quale è l'allegato, ma ancora una volta se la crittografia è affidabile questa è solo una differenza teorica nella sicurezza. E a condizione che l'allegato sia firmato, un utente malintenzionato non sarà in grado di sostituire l'allegato (senza che il destinatario sia a conoscenza).

Da un punto di vista pratico ho sempre fatto affidamento su allegati specificatamente crittografati piuttosto che su un meccanismo client di posta elettronica incorporato, questo è così che so prima che un allegato venga utilizzato che sia stato crittografato e quindi non importa quale problema con le dita Durante la creazione e l'invio dell'e-mail, l'allegato sarà sempre crittografato e accessibile solo ai destinatari previsti (che a mio parere superano i vantaggi teorici della crittografia dell'intera posta elettronica).

    
risposta data 17.11.2014 - 17:16
fonte
0

Alcune aziende si rifiutano di autorizzare le e-mail crittografate PGP o s / MIME nel proprio ambiente, poiché gli allegati crittografati non possono essere sottoposti a scansione per virus / spam, ecc.

Questa è una parte della difesa in profondità e solitamente include

  1. Scansione MTA (MSFT hosted all'avanguardia, Symantec, Proofpoint, ecc.)
  2. Scansione server (Trend Micro per Exchange, ?? per Lotus Notes ...)
  3. Scansione desktop (AVG, Trend, McAfee, ..)

Per peggiorare le cose, la maggior parte dei telefoni non ha software AV su di essi, e le e-mail crittografate possono oltrepassare i primi due livelli e consentire a un utente finale ignaro di installare adware o essere reindirizzati a un sito HTTP / s dannoso.

    
risposta data 17.11.2014 - 19:40
fonte

Leggi altre domande sui tag

Facebook può accedere alla mia app? Strano traffico TCP su Mac OS X da 'rdmd'