web-dev-qa-db-ja.com

「スパム」メールは実際に盗聴を避けますか?

spammimic.com は、メールを「スパム」として「暗号化」するサービスを提供します。その理由は、すべてのメールサービスが自動的にスパムを除外するためです。したがって、盗聴者なしで誰かと通信したい場合スパムであることに気づき、あなたのメッセージを偽装することはこれを行います。

これが実際に機能するという証拠はありますか?メッセージが通過するためには、完全に削除されないように、スパムのように十分にnotである必要があります。自分のアカウントから送信したとすると、ヘッダーなどはそのまま残り、スパムフィルターが最初にチェックするのはこれではありませんか?盗聴者も最初にチェックするのではないでしょうか?

要するに:

親愛なる友人、特にあなたのために-この猛烈な発表
!出版物を受け取りたくない場合
件名を「REMOVE」にして返信してください。
すぐにクラブから削除されます。このメールは
上院の法案1621に準拠して送付されている題名
1;セクション309これは迷惑メールではありません
。金持ちになることができるのに、なぜ誰かのために働くのか
61日以内に!誰もが気づいていないことに気づいたことがありますか
より若い人や人々は購入する可能性がはるかに高い
現金よりもクレジットカードを使用。さて、今がチャンスです
これを活用するには!私たちはあなたがより多くを販売するのを助けます
&ウェブサイトでクレジットカードを使用する。あなたは保証されています
すべてのリスクを負うため、成功する。しかし、しないでください
私たちを信じて!デラウェアに住んでいるエイムス夫人は
私たちが言い、「私は貧しく、金持ちでした-金持ち
優れています "!私たちはすべての州で活動することを許可されています
!注文せずに寝ないでください。友達を登録する
そしてあなたの友達も金持ちになります!乾杯。親愛なる友人
;特にあなたのために-この最先端のインテリジェンス
!これは一度だけ郵送するので、リクエストする必要はありません
今後不要になった場合は削除してください!このメールは
上院の法案2416、タイトル3に従って送付
;セクション302!これはリッチなスキームではありません!なぜ
あなたが金持ちになることができるとき、誰かのために働く
71週間!社会がそうであることに気づいたことがありますか
より速く移動し、ほとんどの人が携帯電話を持っています
!さて、これはこれを利用するあなたのチャンスです!
私たちはあなたをより多く販売し、顧客の反応を高めるのを助けます
170%!あなたは私たちが成功することが保証されています
すべてのリスクを取る。しかし、私たちを信じてはいけません。ジョーンズ氏
ジョージア州のが私たちを試してみて、こう言います。
物事は可能です "!このオファーは100%合法です!したがって
すぐに注文して、今すぐお金持ちになってください!符号
友達を増やすと60%の割引が受けられます。ベスト
よろしく!

21
fredley

標的型攻撃から身を守っているのか、それとも用心深くなっているのか、そして潜在的な敵が盗聴にどのようなベクトルを使用するのかについて詳しく説明すると役立ちます。

そうは言っても、あなたが参照しているメソッドは ' obcursityによるセキュリティ 'と呼ばれ、

「…落胆し、標準化団体によって推奨されていない。」

私はそれをうまく表現していると思います。あいまいなもののセキュリティは非常に[〜#〜]悪い[〜#〜](それ自体で)。

これを見てみてください Def Con 21からのビデオ 、法医学捜査官の観点から語られました。彼らは、あいまいさによるセキュリティが悪い考えである理由のいくつかの例を示しています。また、科学捜査官が使用するツールの機能についても理解できます。

23
cremefraiche

このテクニックの問題(実際にはあらゆる種類のステガノグラフィーで)は あいまいさによるセキュリティ に依存していることです。

Spammimic.comを知っている盗聴者は、spammimicによって生成されるメッセージに典型的なパターンを認識するように監視システムを簡単にトレーニングし、ログに記録して、隠されたペイロードを抽出することができます。

ちなみに、この文脈で「暗号化」という言葉を使用することは技術的に不正確です。暗号化には常に秘密鍵が必要です。この場合のように、メッセージを「復号化」するためにキーが必要ない場合、正しい用語はencodingおよびdecodingです。 エンコードされているが暗号化されていないメッセージは、攻撃者がアルゴリズムを知るだけでよいため、盗聴に対して安全ではありません。

Spammimicも パスワードを必要とするバリアントを提供します で、暗号化レイヤーがエンコードレイヤーに追加されます。暗号化アルゴリズムが強力なものである場合、これは潜在的に機密通信を可能にしますが、深刻な使用には適さない非常に弱い暗号であることを認めています。

結論:Spammimic.comは楽しいおもちゃですが、エンコードする前に深刻な暗号化アルゴリズムでペイロードを暗号化しない限り、深刻な機密通信には何も使用しないでくださいそれ。

12
Philipp

ステガノグラフィの使用代わりに暗号化は、特に使用するツールが自由に利用できる場合は、かなり悪い考えです。 Anybodyを使用して、メッセージを明らかにすることができます。

ただし、単純な暗号化にはステガノグラフィーと比較すると欠点があります。暗号化されたメッセージは通常そのように識別できるため、だれも知らない間はwhat誰かが送信したものの、送信した証拠がありますsomething

機密性と拒否性の両方が必要な場合は、両方のアプローチを組み合わせることができます。 strongアルゴリズムを使用してメッセージを暗号化し、何らかの方法で暗号文を隠します。理想的には、これは両方のタスクを実行するいくつかのソフトウェアによって実行される必要があります。表面的にはスパムのように見えるものにエンコードされたPGPヘッダーは、発見された場合に否認の費用がかかるためです。

メッセージが完全に削除されないようにするには、メッセージが十分にnotである必要があります。自分のアカウントから送信したとすると、ヘッダーなどはそのまま残り、スパムフィルターが最初にチェックするのはこれではありませんか?

もちろん、GMailアカウントを持っている場合、SMTPサーバーによって拒否されるメールを決定することができない場合があります。ただし、独自のメールサーバーを管理する場合、それは構成の問題です。

8
Dennis

これが良いアイデアであるか悪いアイデアであるかは、要件が何であるか、および保護しようとする脅威/リスクに依存します。このアプローチの実用的な側面にはいくつかの重大な制限があると思います。たとえば、メッセージがスパムのように見えて、あいまいになっていて、受信者のスパム対策ソフトウェアが単に削除したり拒否したりするだけのスパムではないそれを受け入れるなど.

これらの問題が解決されたと仮定すると、質問はあなたが何をしようとしているのかを正確に決定することになります。やりたいことが他の人と通信しているという事実を曖昧にするだけの場合、それは何らかの用途を提供するかもしれません。一方、機密性が必要な場合は、おそらくそれだけでは十分ではありません。他の手段と組み合わせて使用​​する必要がある場合があります。たとえば、合意されたスキームを使用して最初に元のメッセージを暗号化し、それをエンコードされたメッセージ内に配置する必要がある場合があります。

覚えておくべき重要な点は、セキュリティは目的と評価されたリスクのレベルに適合する必要があるということです。一般的に、何らかの行動を起こす理由を明確にしたいとします。機密性が必要な場合は、通常、何らかの暗号化が必要になります。整合性が必要な場合は、おそらくハッシュの一部が必要であり、何かを単に隠したい場合は、おそらく何らかの形の速記法が必要です。 3つすべてが必要な場合は、3つすべての手法を適用する必要があります。このテクニックの実用的な側面のいくつかを無視して、あなたが本当にやっていることはそれを隠すことだけです。誰かがどこを見ればよいか知っていれば、おそらくそれを見つけるでしょう。

多くの応答は、あいまいさを介してセキュリティを参照し、それが悪いため使用すべきではないことを示しています。これは非常に単純で、「gotoは悪いため使用すべきではありません」などのプログラミングステートメントに似ています。実際には、これらのことは本質的にテーマ自体に悪いことはありません-それらは不適切に使用された場合にのみ悪いです。他の手段がとられている限り、あいまいさの使用は問題ありません。完全な保護を提供するためにそれだけに頼るのは問題ではありません。非標準ポートでsshを実行することは無名ですが、保護の唯一のレベルではないので問題ありません。非標準のポートでプレーンtelnetまたはftpを実行することは、それらを安全にするためにあいまいさだけに依存しているため、うまくいきません。

1
Tim X