Általános hiba a titkosított e-mailekben

Egy biztonsági kérdésekkel foglalkozó kutató tanulmányából megtudhatjuk, hogy egy alapvető hiba van számos titkosított e-mail programban, ami megkérdőjelezi a digitális aláírással ellátott és titkosított e-mail üzenetek hitelességét.

A probléma alapja a biztonságos e-mail programok digitális aláírások és titkosítás kezelésének módjában rejlik. Mivel a titkosított leveleket a titkosítás előtt mindenképpen digitális aláírással kell ellátni, a címzett csak abban lehet biztos, hogy ki írta az üzenetet, abban viszont nem, hogy ki titkosította azt, tudhatjuk meg Don Davis, a Curl Corp. biztonsági tervezéssel foglalkozó szakemberének tanulmányából.

Például ha egy eladó elküldi egy munkatársának a bizalmas vevők listáját egy titkosított e-mail formájában, a címzett azt ki tudja kódolni saját kulcsa segítségével, majd újra titkosíthatja egy vetélytárs nyilvános kulcsát használva, majd ebben a formában elküldheti a levelet a vetélytárs számára, aki így már képes lesz azt elolvasni. Ebben az esetben a levél teljesen úgy fog kinézni, mintha az eredeti szerző küldte volna.

Ez a módszer természetesen csak olyan esetekben működhet, amennyiben az eredeti levél nem tartalmaz olyan köszöntést, mint például "Kedves Géza!", hiszen elég kicsi a valószínűsége annak, hogy a vetélytársnak is ugyanaz legyen a neve. Tanulmányában Davis több megoldást is javasol a probléma megoldására, többek között a címzett nevét a szövegbe lehetne ágyazni, még a kódolás előtt, vagy aláírni a még egyszer a már aláírt és titkosított üzenetet.

Davis értesülései szerint ez már egy régóta ismert probléma, azonban a PKI és a titkosított e-mailek rohamos terjedésével a téma egyre jobban előtérbe kerül. "Ezek a biztonságos e-mail programok az internet történelmének egy másik fázisaiban készültek, amikor még a felhasználókról azt feltételezték, biztosan tudják, hogy mit rakjanak a levél szövegébe és a fejlécbe. Ma már azonban az átlagos felhasználó már nem tud ilyen döntéseket meghozni" - nyilatkozta Davis.