OK Google、秘密のDKIMキーを公開します

インターネットは、最高の年でも危険な場所でした。インターネットの設計者が脅威を軽減する方法を見つけた場合もあれば、失敗した場合もあります。ただし、大規模なインターネット企業が、ほとんどすべての人にとって実際に状況を悪化させる解決策を見つけるという状況が繰り返し発生します。今日は、そのようなケースの1つと、Googleのような大企業がそれを修正する方法を見つける方法についてお話ししたいと思います。



この投稿では、ドメインキー識別メール（DKIM）について説明します。これは、何とかして怪物に変わった無害な小さなアンチスパムプロトコルです。私の要求は単純です、それは次のように要約することができます：



親愛なるGoogle：DKIM秘密鍵の定期的なローテーションと公開を実装してください。これにより、犯罪者は電子メールを盗んだり漏らしたりする強いインセンティブを失うため、インターネット全体がはるかに安全になります。修正はほとんど費用がかからず、泥棒の手から最も強力なツールをノックアウトします。



これは短いバージョンです。より詳細な情報を以下に示します。

このDKIMとは何ですか？また、どのようにメールを保護しますか？

電子メールは、インターネットがまだARPANETと呼ばれていた時代に作成されました。現代のセキュリティ対策、そして正直なところ、インターネットにはセキュリティが必要であるという考えそのものが、遠い、SFの未来であり続けた、これらははるかに静かな時代でした。



最初の電子メールプロトコル（SMTPなど）は、信頼システムに基づいて機能しました。電子メールは、送信者のメールサーバーから直接メールサーバーに送信されたか、仲介者を介して送信された可能性があります。とはいえ、手紙にそれがあなたの友人のアリスから来たと書かれているなら、あなたはそれが本当にアリスからのものであると信じています。なぜ誰かがこれについて嘘をつくのでしょうか？



電子メールの普及は、この態度が惨めに失敗したことを示しています。ほんの数年で、ネチズンは自分が誰であるかについて嘘をつくことをいとわない多くの人々がいることを学びました。彼らのほとんどは、SMTPがほとんどすべての送信者（友人のアリス、上司、税務署、友好的なナイジェリアの王子）になりすますことを許可したことを喜んだ電子メールスパマーでした。このようなスパムの送信を防ぐための信頼できるメカニズムがなければ、電子メールはなりすましに対してひどく脆弱であることが証明されています。



電子メールプロバイダーの名誉のために、彼らは送信者認証のない電子メールは本質的に使用できないことにすぐに気づきました。メールを適切にフィルタリングするには、少なくとも、電子メールの送信元のサーバーを確認してください。このプロパティには技術的な名前があり、ソース認証と呼ばれます。



基本的なインターネットプロトコルに対する他のほとんどの修正と同様に、ソース認証の問題の解決策は、ダクトテープによる修復に似ていました。メールサービスプロバイダーは、Domain Keys Identified Mail（DKIM ）と呼ばれる（オプションの）新しい暗号化拡張機能をプラグインするように求められています。 DKIMは、メールサーバーから送信されるすべての電子メールにデジタル署名を焼き付けます。受信者のメールサーバーが、たとえばGoogleからのものであることを示すDKIM​​署名付きレターを受け入れると、最初にドメインネームシステムを使用します。（DNS）はGoogleの公開鍵を見つけます。署名はコンテンツとほとんどのヘッダーに関連付けられているため、受信者は署名を検証して、メッセージが本物で変更されていないことを確認できます。この知識は、スパムをフィルタリングするための入力として使用できます。 （このような保証は、ARCと呼ばれる同様のプロトコルによって提供されます。）



もちろん、このようなソリューションは理想的ではありません。 DKIMはオプションであるため、悪意のある仲介者は、レターからDKIM署名を取り除き、受信者にDKIM署名されていないことを納得させることができます。呼ばれる同様のプロトコル、DMARCは、そのメールの送信者が自分の好みを通信することを可能にするためにDNSを使用して力メールの署名を確認します。これらの2つのプロトコルを一緒に使用すると、インターネットからのなりすましを本質的に排除できます。





今日受け取った自動メールの1つに対するDKIM署名の例。

DKIM / ARC / DMARCの問題と「チャレンジ」とは何ですか？

スパム対策として、DKIM、ARC、DMARCは特に問題ありません。トリッキーな部分は、DKIM署名には、元のスパムフィルタリングタスクよりもさらに拡張される予期しない副作用があることです。つまり



、DKIMは、電子メールの信頼性の生涯保証を提供します。これを使用して、盗まれた電子メールが送信されてから数年後でも暗号で認証できます。



この新しい非失効機能は、もともとDKIMの目標として意図されていませんでした。設計者はそれを計画していませんでした、それが良い考えであるかどうか誰も議論しませんでした、そしてほとんどは驚きました。さらに悪いことに、この予期しない機能は非常に深刻な結果をもたらしました。それは、私たちを強奪やブラックメールに対してより脆弱にします。



問題が何であるかを理解するには、DKIMの目標を検討する価値があります。



DKIMの主な目的は、送信中にスパマーによる文字の改ざんを防ぐことでした。つまり、受信者サーバーは、電子メールが途中で多くの信頼できないサーバーを通過した場合でも、要求された送信元メールサーバーから電子メールが送信されたことを実際に確認できる必要があります。



ただし、メール転送が完了すると、DKIMターゲットは完了します。つまり、信頼性の保証は短期間だけ維持する必要があります。手紙は通常、受け取るのに数分しかかからないので（まれに、数時間）、真正性の保証はすべきではありません何年も続くので、これらの署名はユーザーに公開しないでください。しかし、これはそれが起こる方法です。



最近まで、誰もそれについて考えていませんでした。実際、初期のDKIM構成は悪い冗談のように聞こえました。メールサービスプロバイダーは、意欲的な攻撃者にとって非常に簡単にハッキングできるDKIM署名キーを選択しました。 2012年、セキュリティ研究者のZachary Harrisは、Googleや他の多くの企業がDKIM署名に512ビットRSAを使用していることを発見しました。彼は、レンタルされたクラウド機器のそのようなキーが数時間で解読され、ラリーとサーゲイからの手紙を偽造するために使用される可能性があることを示しました。



この「ラリーとセルゲイ」の恥ずかしさに対するGoogleや他のメールプロバイダーの反応を予測するのは難しいことではありません。影響について慎重に考えることなく、彼らはすぐにキーを強化し、1024ビットまたは2048ビットのRSAにアップスケーリングしました。これにより改ざんは防止されましたが、無害なアンチスパムプロトコルが、検証者の手に渡った方法に関係なく、電子メールダンプの検証に使用できる生涯暗号認証スタンプに誤って変換されました。

あなたは頭がおかしいです、誰もDKIMを使って電子メールを認証しません。

ただし、DKIM認証スタンプは、主に政治家の電子メールをハッキングする場合に、マスコミによって広く使用されています。それは現実的で、重要で、意味のあるものです。



同時に深刻な論争を引き起こした最も有名な例：2016年、WikileaksはJohnPodestのGoogleアカウントから盗まれた一連の手紙を公開しました。これらの手紙の出所は曖昧だったので、WikiLeaksはこれらのメッセージの信憑性を検証するという困難な課題に直面しました。 DKIMは洗練されたソリューションになりました。Wikileaksページに投稿されたすべての文字は、添付されたDKIM署名の確認ステータスを公に示しています。このサイトは、DKIMが手紙の現実をどのように証明するかを説明するジャーナリストのための便利なリソースページも提供します。



しかし、DKIMの話はPodestàの手紙で終わっていませんでした。 2017年、ProPublicaはDKIMを使用して、トランプ大統領の個人弁護士であるMarkKasovitzから批評家に送られたとされる手紙の信憑性を検証しました。 2018年、Associated Pressは再びそれを使用して、ロシアの弁護士とDonald TrumpJrをリンクするリークされた電子メールを認証しました。そして、起こった再びの受信者は「ハンター・バイデンのラップトップを」と主張する場合、今年手渡し1つの2015文字をに彼らのソースについてのジャーナリストの懐疑的な見方を克服するためにDKIMの検証のためにロブ・グラハム。



DKIMの検証は重要ではなく、漏洩した手紙はその内容だけに基づいて信じても信じなくてもよいと言う人もいるかもしれません。ただし、多くの報道機関がDKIMに依存することを選択したという事実は、この仮定がいかに間違っているかを明確に示しています。ウィキリークスを含む報道機関は、物議を醸している手紙の受け取り元が疑念につながることを暗黙のうちに認めており、おそらく非常に強力であるため、全国の報道機関で説得力のある出版を不可能にしている。 DKIMはこの問題を回避し、そのような干渉を排除できます。



アソシエイテッドプレスは、DKIM検証ツールもリリースしました。



要するに、元々メールサーバー間を移動する文字の短期識別を提供するように設計されたアンチスパムプロトコルは、その目的を変更し（商用メールユーザーのわずかな議論や同意なしに）、受信または送信の各文字の暗号的に否定できない認証を提供するツールになりました。これは、ジャーナリスト、ハッカー、ブラックメーラーにとって素晴らしいリソースです。



しかし、彼はあなたに何の利点も与えません。

あなたはそれについて何ができますか？

DKIMは、長期的な電子メール認証を目的としたものではありませんでした。それが提供するセキュリティ保証は重要ですが、メールサーバーによってレターが送信されてから数時間（場合によっては数日）しか持続しないはずです。2015年に書き戻された、盗まれた電子メールの信憑性を証明するためにDKIMを引き続き使用できるという事実は、本質的に失敗です。頭を使って考えなければならなかった電子メールプロバイダーによる誤用と設定ミスの結果です。



幸いなことに、簡単な解決策があります。



DKIMを使用すると、ベンダーは、送信メールの署名に使用されるキーを定期的に「ローテーション」または交換できます。このローテーションの頻度は、キャッシングによってわずかに制限されますDNSインフラストラクチャですが、これらの制限はそれほど厳密ではありません。 Googleのような大規模なベンダーでさえ、メールの送信を妨げることなく、少なくとも数週間ごとに署名キーを簡単に変更できます。このようにキーを変更することはとにかく良い習慣であり、解決策の一部です。



もちろん、DKIMキーペアを変更するだけでは何も解決されません。インターネット上の狡猾な人々は常に公開DKIMキーをアーカイブしています。実際、これは2020年に2015年からGoogleメールボックスへの手紙によって確認されたものです。Googleがその昔の期間にDKIMメールに署名するために使用したキー（2012年から2016年まで、同じキーが使用されました-真剣に、Google、なんてめちゃくちゃ！）はもう使われていませんが、インターネット上の多くの場所にキャッシュされています。



この問題の解決には、わずか1つの小さな追加要素が必要です。Googleは、ローテーションとリタイア後に、秘密鍵を使用して鍵ペアのサブセットを公開する必要があります。会社は、この秘密鍵を簡単にアクセスできる公共の場所に公開して、誰でもそれを使用して、Googleユーザーからの疑わしい古い電子メールを偽造できるようにする必要があります。 Google署名キーが公開されると、新しい電子メールのリークが暗号的に無効になります。部外者はDKIM署名を改ざんする可能性があるため、真正性の証拠としてはほとんど役に立たなくなります。



（独自のメールサーバーを使用している場合は、この優れたスクリプトを使用してこれを自動的に実行できます。）



Googleは、2016年の古い秘密鍵をリリースすることで、このプロセスを今すぐ開始できます。今日の彼らの秘密は文字通り、電子メールの漏洩を第三者が確認する以外のセキュリティ目的には役立たないため、これらの値を秘密にしておく理由はありません。それらをレイアウトするだけです。



（偏執的な読者は、やる気のある攻撃者がすでにGoogleから古いDKIM秘密鍵を盗んだ可能性も考えているかもしれません。..。最終的に、DKIM署名キーはGoogleエコシステムの「王室の宝石」ではないため、Googleはそれらを安全に保つために邪魔をすることはほとんどありません。この場合、Googleが鍵を秘密にしておくと、特定のアクターが免責で手紙を改ざんできる状況が発生するだけです。）

しかし、DKIM認証は素晴らしいことです！政治家からの漏洩メールをチェックできるようにしたくないですか？

最新のDKIMの実装は、特定の種類の犯罪を助長するため、問題を引き起こします。ブラックメールや強奪の公開キャンペーンで使用するためのプライベートレターの盗難です。過去数年にわたって、この機能は、フォロワーの好みに合っているか、「捕らえられた」政治家がそれに値するため、多くの人が受け入れられる方法で主に使用されていることが判明しました。



しかし、悪いことは良い人にも起こります。犯罪を刺激するメカニズムを作成すると、遅かれ早かれ犯罪があなたに対して犯されます。



Googleのような電子メールプロバイダーは、顧客の電子メールパスワードを取得したり、会社の従業員からそれをフィッシングしたりする人は誰でも、結果の信憑性を証明するために誰にでも見せることができる暗号的に否定できない証拠を提供できるという決定を下しました（多くの場合、顧客に尋ねることはありません）。犯罪。おそらく、そのような証拠は犯罪者の仕事には不要でしょう。しかし、それは間違いなく価値があります。そのような可能性を排除することは、その最も純粋な形での祝福です。



私がこれについて議論しなければならないという事実は私を非常に悲しくさせます。

タイムスタンプ、改善された暗号化、およびその他の正式な異議

古い秘密鍵を公開するというアイデアに言及するたびに、非常に良いコメントを持つ人々からたくさんの正式な反対意見が寄せられます。しかし、彼らは私たちが通常直面するものよりも深刻な脅威モデルについて考えています。



最も一般的な反対意見は、秘密鍵の公開は、秘密鍵の公開後に署名された電子メールを受信した場合にのみ機能するというものです。正しいこの論理により、秘密のDKIMキーの公開前に盗まれて公開された文字は否定できません。たとえば、誰かがあなたのアカウントをハッキングして、あなたが受信した電子メールをすぐにリアルタイムで公開し始めた場合でも、その暗号の検証可能性は可能です。



誰かが、受信者（またはあなたの電子メールアカウントに常時アクセスできるハッカー）がブロックチェーンなどの公開タイムスタンプサービスを使用して、受信した電子メールを受信時に安全に「スタンプ」する巧妙な攻撃の可能性を提案しました。これにより、そのような受信者は、秘密のDKIMキー（チェックとチェックメイト）を公開する前に、手紙に署名したことを証明できます。



これは非常に巧妙な理論的ハックですが、より強力な脅威モデルに対処するという意味では本質的に無関係です。今日のDKIMの最も重大な問題は、DKIM署名がアーカイブされたメールボックス内に存在することです。これは、今日私のGmailアカウントをハッキングしたハッカーが、私が送受信した電子メールでDKIM署名を示すことができることを意味します。数年前。古いプライベートDKIMを公開すると、この問題はすぐに修正されます。 「リアルタイムハッカー」の理論的問題の解決策は、その順番を待つことができます。



私が時々耳にするもう1つの反対意見は、暗号化認証が便利な機能であるということです。そして、特定の条件下では、私はそれに同意します。 DKIMの問題は、商用メールアカウントでこの機能がデフォルトで必要かどうかを尋ねられていないことです。人々が自分の手紙を暗号で確認したい場合は、この目的のために便利なツールのセットを使用できます。



さらに、新しい暗号化の助けを借りて、DKIMチャレンジの問題を解決することが可能かどうかという問題があります。暗号学者として、私はこれに非常に熱心です。実際、私の共著者であるMikeSpectreとSanuParkと私は最近、DKIM問題の長期的な解決策がどのように機能するかについての記事を書きました。 （マイクはこれについて素晴らしい投稿を書きました。）私たちのソリューションが必ずしも最良であるとは言いませんが、それが誰かにもっと研究をするきっかけになることを願っています。



ただし、最も単純な方法が最善の解決策である場合もあります。そして現在、最大の商用電子メールプロバイダーであるGoogleは、非常に簡単な操作を行うことで、大きな影響を与えることができます（そして、将来のリークから顧客を保護することができます）。そして、なぜ会社がまだこれを行っていないのかは私には謎です。

---

広告

DDoS攻撃から保護されたVDSinaの仮想サーバーを使用すると、あらゆるプロジェクトをホストできます。すべてがスムーズに、高い稼働時間で機能します。便利なコンフィギュレータを使用して、サーバーパラメータを自分で選択できます。