Demuestre la propiedad de una cuenta de GMail

Navega tus respuestas
3

¿Hay una manera para que una persona demuestre de manera remota e irrefutablemente la propiedad de una dirección de correo electrónico de Gmail? He considerado usar firmas DKIM, pero esto tiene problemas:

Robot de firma de claves PGP DKIM Correos electrónicos verificados

También he considerado utilizar las API de OpenID u OAuth de Google, pero creo que puedes incluir otros correos electrónicos como tu dirección principal en tu cuenta de Google. En particular, los documentos de Google indican: "La dirección de correo electrónico del usuario. Es posible que no sea única y que no sea adecuada para su uso como clave principal". Si bien la API informa si el correo electrónico se verifica, es No me queda claro si la verificación es más sustancial que un simple bucle de correo electrónico. enlace

Entiendo que existen muy buenas razones para que Google dificulte la vinculación de correos electrónicos a cuentas de usuarios. Sin embargo, sería bueno si un usuario pudiera optar por demostrar esta asociación.

Editar para aclarar : El contexto aquí es el de firmar claves PGP o otorgar certificados S / MIME vinculados al correo electrónico. Desea estar seguro de que el certificado que está firmando fue enviado por alguien con privilegios de envío / recepción de buena fe, y no por alguien que falsifique el campo "de:", o que se encuentra en el camino entre el proveedor de correo electrónico del firmante y Google ( proveedor de correo electrónico). Aquí, la identidad de la vida real no importa. No me importa quién es alguien. Solo me importa que la persona que realiza la solicitud sea también la persona que tiene el nombre de usuario / contraseña de la cuenta de correo electrónico reclamada (o, supongo, trabaja para Google ...). El propósito aquí es iniciar formas de comunicación más seguras.

El argumento aquí es que el bucle de correo electrónico estándar es insuficiente. El correo electrónico es propenso a la falsificación y la intercepción. Pero, puede haber métodos seguros fuera del canal (por ejemplo, OAuth o publicación de una clave pública en Google+). Si nada más, tal enfoque proporcionaría evidencia adicional más allá del bucle de correo electrónico ya ubicuo. Desafortunadamente, ni OAuth, ni Google+, ni los comentarios de YouTube, etc. pueden vincularse de manera confiable a una dirección de correo electrónico.

    
pregunta afourney 07.12.2015 - 21:23
fuente

1 respuesta

3

Siguiendo las ideas enumeradas en los comentarios anteriores (gracias a Neil et al.), encontré el informe de transparencia de correo electrónico de Google:

enlace

Esto deja muy claro que la mensajería de Gmail > Gmail está cifrada:

  

Es el correo electrónico de los usuarios de Google a otros    ¿Los usuarios de Google están encriptados en tránsito?

     

Sí. Esto incluye Gmail, Google   Aplicaciones y notificaciones de   Google+. Es por eso que este informe es   centrado en las entregas de correo electrónico donde   Google es solo uno de dos proveedores   involucrado.

Así que creo que esto resuelve el problema.

Al recibir un correo electrónico entrante a una cuenta de gmail, se puede verificar la firma DKIM para verificar que el correo electrónico se originó en un servidor SMTP de Google (y, por lo tanto, se cifró hasta su bandeja de entrada de Gmail)

En la dirección de salida, sabe que su correo electrónico se originó en los servicios de Google y, por lo tanto, se cifrará hasta la bandeja de entrada de gmail del destinatario.

Si alguien puede enviar un correo electrónico y responder a un desafío enviado por correo electrónico (todo dentro de gmail), creo que esta sería una prueba muy convincente de la propiedad de la cuenta. Por supuesto, un ingeniero de Google aún podría inspeccionar los mensajes en reposo, pero estoy dispuesto a aceptar que esas personas estén en la clase de "correo electrónico autorizado / enviado desde esa cuenta de correo electrónico".

    
respondido por el afourney 08.12.2015 - 05:59
fuente

Lea otras preguntas en las etiquetas

Crear contraseña usando caracteres especiales ¿Por qué snort usa solo la regla de "alerta"?