×

用户资源

联系我们

  • 在线客服
  • 联系我们
  • 客服专线: +86 020 2838 3668
Richard Vohsing

DKIM 漏洞事件

Dec 06 2012, 07:43 PM by

你最近可能有听说 Zachary Harris 破解 Google 的加密电子邮件服务的新闻。他发现了 Google的 DKIM 漏洞。这是一个重要的议题,值得所有 Benchmark Email 客户深入了解。这代表的意义及其对电子报行销业者的影响,会在下文中阐释。

DomainKeys Identified Mail (DKIM) 是电子邮件服务供货商(ESP)利用的加密协议,显示他们认证发送的电子邮件讯息并为其负责。就像是寄件者的签名,确保这封信并不是被别人冒充寄出的。

在收到一封来自 Google 的可疑邮件后,和电子邮件产业毫无关系的数学家 Zachary Harris,发现了DKIM系统里的漏洞。这个问题是出在 Google 电子邮件系统所使用的DKIM加密协议的强度不够。Zachary 发现 Google 使用的 DKIM 密钥只有 512 位,而非推荐使用的 1024 位密钥。

Zachary 发现的这种低位的密钥漏洞可以轻易地用低预算破解。他只花了不到一百美金,就利用 Amazon 的网络服务在 72 小时内破解了 512 位的密钥。他也指出只要有足够的资源,破解 768 位的密钥也不是问题。

Zachary 的进一步调查发现 Google 不是唯一一个使用 512 位密匙的系统;Yahoo、Twitter、Amazon 和 Ebay 也是。他也发现有其它组织,包括银行,都只使用 768 位的密钥。这其中涵盖的风险在于,如果低位的密钥被破解,很可能被有心人士用来伪造邮件,并藉此发送大量看似合法的钓鱼邮件。

就在这个发现及漏洞被报导出来不久,US-CERT 发表了网络预警(Vulnerability Note),建议所有电子邮件供货商使用 1024 位或更强的 DKIM 密钥。你可以在这里读到他们的公告:
http://www.kb.cert.org/vuls/id/268267.
这会如何影响 Benchmark Email 使用者?
好消息是,Benchmark Email 已经使用 1024 位的 DKIM 密钥超过三年,以确保客户的安全性;这表示那个漏洞其实对我们系统或客户都不会造成直接的损害。但有鉴于这个漏洞,我们已经开始着手将密钥升级至 2048 位,以加强安全保密系统。目前而言,破解 1024 或 2048 位密钥都是不可能的,这也代表从我们系统发送的邮件都将持续确保安全性。

意见讨论区 新功能及系统更新, 新闻, 科技评论

相关的博客

Post a new comment

POST YOUR COMMENT

Comment With Facebook