Firmar pero no cifrar correos electrónicos genéricos triviales

Question

Firmar pero no cifrar correos electrónicos genéricos triviales

#1 de Philipp (4 votos)

1

Supongamos que mi profesor nos envía un correo electrónico firmado pero no cifrado (S / MIME) a estudiantes como este:

Queridos estudiantes,

mañana no habrá clase. Estoy enfermado.

Saludos profesor

Ahora podría simplemente reproducir este correo el próximo mes para mis compañeros y mi profesor sería el único que se presentaría en la sala de clase. Todos los demás estudiantes creerían que este correo es válido, ya que todavía está firmado (por mi profesor) y se envía a través de una dirección de remitente falsa.

Mi idea es que este correo electrónico debería haberse dirigido a un destinatario específico ( Estimado estudiante A .. ). De esta manera, cada destinatario puede simplemente realizar una prueba a través de texto simple, si este correo está dirigido a él / ella.

¿Es correcto que se evite el envío de correos triviales firmados pero no cifrados (o cifrados y luego firmados) como este, ya que podría ser contra usted?

digital-signature smime

pregunta user1511417 07.12.2017 - 17:30

fuente

1 respuesta

Lea otras preguntas en las etiquetas digital-signature smime

Búsqueda de lagunas de seguridad e informes (aplicaciones web específicamente) ¿Cómo compartir datos encriptados entre usuarios?

score 4 · Accepted Answer

Si el correo electrónico estaba dirigido a un estudiante específico, el mismo ataque de repetición sería posible si usted interceptara el correo electrónico en tránsito.

El problema con este correo electrónico no es la vaguedad del destinatario, es la vaguedad del contenido. No especifica qué es el "mañana". Si se leyera el correo electrónico "no habrá clase el 8 de diciembre de 2017", este "ataque de repetición" se frustraría.

También podría frustrarse si S / MIME incluyera el encabezado del correo con la fecha. Hay una forma estandarizada de hacerlo desde S / MIME 3.1 (incrustar el mensaje en otro mensaje como el tipo de medio message/rfc822 ). El destinatario vería entonces que es un correo electrónico antiguo y que está dirigido a otra persona (a menos que sea un correo electrónico con múltiples destinatarios). Pero no estoy seguro de qué tan bien es soportado por los clientes de correo electrónico.

Por cierto, en mi opinión, debería ser una etiqueta común en la comunicación por correo electrónico para evitar fechas relativas por una razón completamente diferente: no se puede saber cuándo el destinatario lee su correo electrónico. Cuando el destinatario lea el correo mañana por la mañana y no compruebe cuándo fue enviado, creerán que "mañana" se refiere a lo que usted consideraría "pasado mañana". Este problema se amplifica si se encuentra en zonas horarias diferentes. Tu "mañana por la mañana" podría ser tu destinatario "esta noche".