Google、Microsoft、Yahooは深刻なメール​​の弱点を修正

Google、Microsoft、Yahooは電子メールシステムの弱点を救済し、攻撃者が数学的なセキュリティ検証に合格する偽のメッセージを作成する可能性があります。

DKIMまたはDomainKeys Identified Mail主要な電子メール送信者によってDKIMは、電子メールの周囲に暗号署名をラップして、メッセージの送信元のドメイン名を検証します。正当なメッセージからの偽装されたメッセージを簡単にフィルタリングできます。

1,024ビット未満の署名鍵が問題になります。コンピュータの消費電力が増加するために考慮する必要があります。米CERTは水曜日に発行された勧告で、1,024ビット未満の署名鍵が弱く、RSA-768ビットまでの鍵が考慮されていると述べている[

] [参考文献：Windows PCからマルウェアを削除する方法]

この問題は、フロリダ州の数学者Zachary Harrisが、Wired magazineが水曜日に発表した報告書によると、512ビットの鍵だけを使ったGoogle勧誘者からの電子メールが送られた後に明らかになった。

Googleによって、彼はキーを分解し、Sergey BrinからGoogle創設者のLarry Pageに偽装されたメッセージを送信するために使用した。

これはテストではなく、実際には重大な問題であり、信頼されるだろう。 DKIM標準によれば、1,024ビットより短い鍵を持つ電子メールメッセージは必ずしも拒否されるわけではありません。

Harris氏は、問題はGoogleだけでなく、MicrosoftとYahooにも限定されていることを発見しました。 2日前のUS-CERTによると、 Harris氏は、Wiredによると、PayPal、Yahoo、Amazon、eBay、Apple、Dell、LinkedIn、Twitter、SBCGlobal、US Bank、HP、Match.com、HSBCの512ビットまたは768ビットの鍵を使用していることを発見した。署名鍵はサイバー犯罪者の利益です。彼らは、コンピュータのソフトウェアを悪用しようとして悪意のあるリンクを含む電子メールを選択し、スパイフィッシングと呼ばれるマルウェアをインストールします。電子メールに正しいDKIM署名が含まれていれば、受信者の受信トレイに入る可能性が高くなります。

US-CERTは別の問題についても警告しました。 DKIM仕様では、送信者はメッセージ内のDKIMをテスト中であることを示すことができます。受信者の中には、DKIMが署名されていないかのようにメッセージを処理する必要がある場合に、テストモードでDKIMメッセージを受け入れる人もいます」とUS-CERTは言います。

ニュースのヒントとコメントを[email protected]に送ってください。 Twitterで私に従ってください：@jeremy_kirk