×

用戶資源

聯絡我們

  • 線上客服
  • 聯繫我們
  • 客服專線 (02) 2258-5981

選擇語言

Richard Vohsing

DKIM 漏洞事件

Dec 06 2012, 01:48 AM by

你最近可能有聽說 Zachary Harris 破解 Google  的加密電子郵件服務的新聞。他發現了 Google的 DKIM 漏洞。這是一個重要的議題,值得所有 Benchmark Email 客戶深入了解。這代表的意義,及其對電子報行銷業者的影響,會在下文中闡釋。

DomainKeys Identified Mail (DKIM) 是電子郵件服務供應商(ESP)利用的加密協議,顯示他們認證發送的電子郵件訊息並為其負責。就像是寄件者的簽名,確保這封信並不是別人想冒充他寄出郵件。

在收到一封來自 Google 的可疑郵件後,和電子郵件產業毫無關係的數學家  Zachary Harris,發現了DKIM系統裡的漏洞。這個問題是出在 Google 電子郵件系統所使用的DKIM加密協定的強度不夠。Zachary 發現 Google 使用的 DKIM 密鑰只有 512 位元,而非推薦使用的 1024 位元密鑰。

Zachary 發現的漏洞是低位元的密鑰可以輕易地用低預算破解。他只花了不到一百美金,就利用 Amazon 的網路服務在 72 小時內破解了 512 位元的密鑰。他也指出只要有足夠的資源,破解 768 位元的密鑰也不是問題。

Zachary 的進一步調查發現 Google 不是唯一一個使用 512 位元的系統;Yahoo、Twitter、Amazon 和 Ebay 也是。他也發現有其他組織,包括銀行,都只使用 768 位元的密鑰。這其中涵蓋的風險在於,如果低位元的密鑰被破解,很可能被有心人士用來偽造郵件,並藉此發送大量看似合法的釣魚郵件。

就在這個發現及漏洞被報導出來不久,US-CERT 發表了網路預警(Vulnerability Note),建議所有電子郵件供應商使用 1024 位元或更強的 DKIM 密鑰。你可以在這裡讀到他們的公告:
https://www.kb.cert.org/vuls/id/268267.
這會如何影響 Benchmark Email 使用者?
好消息是,Benchmark Email 已經使用 1024 位元的 DKIM 密鑰超過三年,以確保客戶的安全性;這表示那個漏洞其實對我們系統或客戶都不會造成直接的損害。但有鑑於這個漏洞,我們已經開始著手將密鑰升級至 2048 位元,以加強安全保密系統。目前而言,破解 1024 或 2048 位元密鑰都是不可能的,這也代表從我們系統發送的郵件都將持續確保安全性。

文章分類 新功能及系統更新, 科技新聞, 科技評論

相關文章

留言

留言

從Facebook留言