Zabezpecena posta [Was : Re: Certifikace nezavirovane posty]

Jan Houstek houstek na utf.mff.cuni.cz
Pátek Květen 28 03:41:57 CEST 2004


On Thu, 27 May 2004, Chlopcik Ales wrote:

> Jestli jsem to dobre pochopil, pak v ramci navazovani (TSL) spojeni je
> verifikovana identita odesilatele (i prijemce :-) pres certifikaty (od
> duveryhodnych CA) => ManInTheMiddle (vydavani se za nekoho jineho) je
> vec nemozna => vim stoprocentne, ze ten, kdo mi zpravu posila, je
> opravdu tim, za koho se vydava. Tim padem mam vyresenou prvni cast
> problemu, a sice _anonymni_ utoky. Bud ma certifikat => vim, o koho jde
> a nebo certifikat nepredlozi a pak se s nim bud bavit trosku opatrneji.

Je vam jasne, pokud se jedna o MTA prijmajici postu z internetu, ze 90%
klientu vubec nebude STARTTLS podporovat, a z toho zbytku 90% bude mit
self-signed certifikat? To jsou podle vas vsechno zlocinci?

Pokud doufate, ze pres TLS rozsireni SMTP vyresite problemy s viry, spamy
a ostatnim e-mailovym neradstvem, tak jste na spatne stope.

> Touto verifikaci sice neni zadnym zpusobem dotcena nutnost AntiVirove
> kontroly, ale IMHO by se melo silne zuzit _pole_pusobnosti_ prave tem
> nejnebezpecnejsim, _anonymnim_lumpum_. Kazdy uz bude dohledatelny.

V drtive vetsine pripadu je IP adresa zcela postacujicim identifikatorem MTA.

> U _overenych_ pak lze bez problemu odeslat zpet _odmitaci_ Emil (pri
> zavirene priloze cely Emil),

Ten certifikat neoveri odesilatele, jen a pouze MTA, od ktereho vam ten
mail prisel.

> Podotykam, ze timto systemem se sice nevylouci prijeti _viru_, ale
> uz se bude vedet odkud => bude mozny (bohuzel az nasledny :-) postih.
> Treba i jen zarazenim do blacklistu (ktere se daji sdilet :-).

Hmm, zarazovat relaye, pres ktere chodi viry, do blacklistu, hmmm ...

> Napada nekoho nejaka (logicka :-) chyba ?

Jen jedna. Je to cele naprosty nesmysl.

-- Honza Houstek


Další informace o konferenci Linux