Desde mi entendimiento del correo electrónico de PGP, es posible lo siguiente:
Alicia le envía un mensaje a Bob. Luego, Bob puede tomar exactamente el mismo mensaje y enviarlo a Carol mientras hace que Carol parezca que es de Alice a ella.
Esto podría evitarse si el estándar también firmara a los destinatarios junto con el correo electrónico.
Mi pregunta es: ¿existe una práctica estándar para protegerse contra dichos ataques de repetición?
Su argumento es válido, con Firmar & Encrypt , las 2 capas son independientes y esto le brinda a usted (como Bob) la capacidad de volver a cifrar el mensaje de Alice mientras la firma aún está en su lugar y se la reenviará a Carol.
Otra opción sería cifrar y luego firmar pero también existe una vulnerabilidad en este enfoque. Bob o cualquier oyente pueden eliminar la firma y agregar su propia firma. Sin saber el contenido del mensaje cifrado, puede hacerse pasar por el remitente del mensaje.
Hay numerosas discusiones sobre SE, así que no voy a entrar en ellas. por ejemplo: ¿Debemos firmar, luego encriptar, o encriptar? -hasta firmar?
La solución tiene que agregar un enlace entre la firma y la capa de encriptación porque la vulnerabilidad se encuentra en la brecha donde se encuentran estas dos capas independientes.
Y como dijiste, podríamos agregar la dirección del destinatario en la parte cifrada del mensaje.
En esta página (Signo defectuoso y cifrado en S / MIME, PKCS # 7, MOSS, PEM, PGP y XML) en la sección 5, se proponen cinco opciones de reparación:
- Firme el nombre del destinatario en el texto simple
- Cifra el nombre del remitente en texto sin formato
- Incorporar ambos nombres
- Vuelva a firmar el mensaje encriptado y encriptado
- Cifra de nuevo el texto cifrado firmado.
Para soluciones de reparaciones de nombres:
Tal vez sea parte de la razón por la que el signo y el amp; El cifrado que parece seguro es que con muchos mensajes de carga útil comunes, S & E es seguro. Por ejemplo, incluso si Alice solo firma y cifra el texto '' Estimado Bob: El trato está cancelado. Lamentablemente, Alice, '' entonces el mensaje de Alice es seguro, aunque solo sea accidentalmente. La presencia de nombres bajo ambas capas criptográficas es crucial, pero incluir ambos nombres no es estrictamente necesario
Uso de firmar / cifrar / firmar:
Firma interna: "Alice escribió el texto en claro;"
Cifrado: "Solo Bob puede ver el texto sin formato;"
Firma externa: "Alicia usó la clave B para cifrar".
Uso de Encrypt / Sign / Encrypt:
Primer cifrado: "Sólo Bob ve el texto sin formato;"
Firma: "Alice escribió el texto en claro y el texto cifrado;"
Cifrado externo: "Solo Bob puede ver que Alice escribió el texto simple y el texto cifrado".
También puede encontrar el análisis de costo / beneficio en ese enlace, la reparación más simple es agregar la dirección del destinatario al texto sin formato y luego firmar y cifrar.
Regresando a su pregunta principal, parece que no hay una implementación estándar para que los clientes PGP agreguen / verifiquen la dirección de los destinatarios en el texto cifrado, por lo que se podría agregar y verificar manualmente la dirección en el cuerpo del mensaje.
Esto se evita simplemente usando una comunicación humana adecuada.
Normalmente, comienzas un mensaje con like:
"Hello Bob
Nice to hear from you again.
bla bla bla"
Por lo tanto, Carol, detectaría fácilmente esta discrepancia ya que el mensaje no está dirigido a él / ella, y por supuesto le preguntaría a Alice "¿Me enviaste esto? Entonces tienes la dirección equivocada". y Alice diría "No, no te lo envié, el mensaje debe haberse filtrado y reproducido".
Tenga en cuenta que el "Hello Bob" debe ser parte de la parte firmada y, por lo tanto, es inmodificable por el atacante.
Si no sabe el nombre o el destinatario deseado del correo, es normal que el contenido se destaque de una manera específica para dejar en claro que está destinado a una persona específica, por lo que si el mensaje es incorrecto en el buzón de entrada, el receptor entenderá que el mensaje no fue para ella.
Un ejemplo, podría ser si está enviando un mensaje a "support@random_isp.com"
"Hello.
My broadband account just got suspended, my RandomISP customer number is 153424.
Could you check my account details if the latest bill payment has arrived and whats happened if not."
Si este correo llegara a tu bandeja de entrada, quedaría claro que no está destinado o no se te envía.
También tenga en cuenta que hay otros sistemas como SPF y DKIM, que verificarán y evitarán el uso de la dirección de correo electrónico del remitente, que en este caso también regalaría cualquier intento de repetición, ya que el correo electrónico del remitente no coincidiría con la clave pública que corresponden a la clave privada con la que se firmó el correo.
Lea otras preguntas en las etiquetas encryption email