¿Se considera seguro el enlace de descarga críptica por correo electrónico?

0

Una plataforma de almacenamiento en línea permite compartir archivos con cualquier persona que no tenga una cuenta allí mediante el envío de un enlace https que permita la descarga directa del archivo. El enlace se envía por correo electrónico a los usuarios invitados.

Una parte del enlace es clave larga, probablemente lo suficientemente aleatoria como para que un humano no la adivine con éxito. Pero, ¿se puede considerar que un enlace compartido de este tipo (que se encuentra solo en la bandeja de entrada del destinatario) es lo suficientemente seguro contra el uso no autorizado?

¿Se consideraría seguro si el enlace no se envió por correo electrónico, pero se envió a través de algún canal seguro? ( No estoy seguro de si el enlace de descarga directa, incluso si se mantiene confidencial, es seguro per se. )

    
pregunta miroxlav 11.08.2017 - 13:29
fuente

1 respuesta

3

Depende de su definición de seguro .

Para que algo sea seguro, debe tener los siguientes tres componentes de C.I.A (como mínimo):

  1. Confidencialidad
  2. Integridad
  3. Disponibilidad

¿Este enlace cumple con los requisitos de C.I.A?

Teniendo un enlace de descarga como este: enlace cumple con la definición de confidencial en sí mismo porque es computacionalmente inviable encontrar este archivo a propósito sin el conocimiento previo de dónde se encuentra. Bruto forzar el sitio e intentar cada combinación posible llevaría milenios.

El ejemplo utiliza SSL (TLS), por lo que también está protegido en tránsito.

Esto no cumple el requisito de integridad. No tenemos forma de saber si este documento fue alterado por un ataque de MiTM, si fue cambiado por un actor malo en el servidor, etc ... El archivo solo está en el servidor.

Este enlace de archivo cumple el requisito de disponibilidad. Navegue a la URL, obtenga los datos. No hay más disponible que eso.

¿Dónde se descompone la seguridad?

La seguridad de este enlace se rompe cuando empiezas a transmitir el enlace a las personas para que estén disponibles.

La transmisión del enlace en texto sin formato a través de correo electrónico rompe la seguridad que el archivo con nombre de GUID le dio porque las personas no autorizadas pueden obtener acceso a la URL de texto sin formato.

Para mantener la seguridad, debe usar un método de comunicación que use la autenticación de cifrado y . El cifrado protege la URL en tránsito, y la autenticación garantiza que la persona que la lee es la correcta, y les permite asegurarse de que la persona que lo envió realmente fue usted. (Esto agrega aún más complejidad porque las computadoras realmente no pueden garantizar que la persona que lee el mensaje sea el destinatario deseado. Un iPhone desatendido y desbloqueado, el destinatario sostenido a punta de pistola y forzado a abrir el mensaje, etc ... podría ser una posibilidad sobre cómo El mensaje puede ser leído por personal no autorizado.)

Este enlace nunca tuvo integridad, por lo que no se puede romper.

La disponibilidad de este enlace todavía se mantiene aquí.

¿Cómo puede mejorar la seguridad del enlace?

  1. Agregue una contraseña para acceder al sistema. Un buen en Más de 16 caracteres, que se generan aleatoriamente desde un generador de contraseñas . Esto abre otro problema de seguridad de contraseña, pero por ahora, solo use contraseñas aleatorias con una longitud mínima de 16. Esto agrega un segundo factor y asegura el enlace contra los goteros. Por supuesto, también puede romper esto fácilmente si envía la contraseña en el mismo correo electrónico que el enlace. La contraseña debe como mínimo enviarse fuera de banda. (Enlace de correo electrónico, llame y diga la contraseña). NextCloud y ownCloud ofrecen esta opción de enlace + contraseña confuso, por ejemplo.
  2. Use GPG / PGP para enviar la información al destinatario. Esto le permite cifrar el mensaje y firmarlo antes de enviarlo al destinatario. El destinatario también tiene que tener su contraseña para descifrar el mensaje. En este escenario, la información se transmite de manera adecuada y segura a un destinatario, lo que mantiene la integridad del enlace GUID. Alternativamente, puede usar Signal o WhatsApp, que hace que este mismo proceso sea transparente y que tenga estándares y protocolos de seguridad ampliamente aceptados.
  3. Utilice la criptografía de clave pública para firmar el documento. La firma del documento en la ubicación de descarga permite a los usuarios remotos verificar que el documento se encuentra en su estado exacto y previsto y no se ha manipulado desde que el autor original lo creó.

¿Cuánto es demasiado?

Tienes que decidir cuál es tu modelo de amenaza. ¿Qué problemas podría tener si este archivo "se suelta?" Si se trata de un precio para un cliente, que puede ser diferente para cada cliente, y no desea que el cliente pueda adivinar otra cuenta para comprarle, solo el enlace es suficiente. Si está transfiriendo secretos confidenciales que no quiere que el empleado de TI de la empresa descubra si está aburrido, tendrá que mejorarlo un poco. Si estás transmitiendo secretos del gobierno ... bueno ... entiendes el punto. Primero descubra qué le preocupa, luego defina los parámetros de seguridad que deben cumplirse dentro de ese contexto.

Referencias

respondido por el DrDamnit 11.08.2017 - 15:42
fuente

Lea otras preguntas en las etiquetas