web-dev-qa-db-ja.com

銀行がS / MIMEを使用してメールに署名しないのはなぜですか?

私の銀行から送信されたメールに、メールクライアントが確認できるS/MIME署名が含まれている場合、メールが改ざんされていないか、悪意のあるサードパーティによって送信されていないことが保証されます。最も有名なメールクライアントはS/MIMEサポート(Outlook、iOS、Thunderbird、Mail.app)を持っているので、なぜS/MIME署名がより一般的でないのですか?

emailx.509smimeemail-spoofing
8
sigjuice

それは通常、費用対利益の決定です。

費用:

  • 独自のCAインフラストラクチャを作成するか、送信者ごとに公開証明書を購入する
  • 使用方法を従業員に教える
  • それを使用しない方法、特に秘密鍵が本当に秘密にされていることを確認する方法を従業員に教える
  • メール内のこの奇妙なものの意味を顧客に教える
  • 証明書の有効期限、失効などすべてを適切に処理する
  • ...

利点:

  • 通常、議論は次のようになります。他の誰もこれを使用していないため、多くのメリットはありません。

したがって、利益がコストより高いか、一部の規制が署名されたメールの使用を要求しない限り、それは実装されません。

それとは別に、S/MIMEを正しく使用することは、受信者にとってもそれほど簡単ではありません。メールが署名されているかどうかを示すインジケーターがあるか、これらのインジケーターがどのように見えるかを理解しているものもありますが、どのような種類のインジケーターがあり、メール自体に含まれているインジケーターを信頼してユーザーに信じさせるべきではありません。つまり、すべてが安全であるということです。つまり、トラストシール、「アンチウイルスによってスキャンされた」メッセージなどのようなものです。したがって、すべてのユーザーに教えるコストもかかります。

10
Steffen Ullrich

私の銀行は決して電子メールを送りません。代わりに、私が使用できるオンラインバンキングインターフェース内にメッセージングサービスがあります。さらに、銀行のサイトと郵送で受け取る印刷物には、銀行が通信に電子メールを使用しないことが明記されています。

安全な電子メールインフラストラクチャを持たないことでコストを節約しているので、このソリューションが銀行にとって良いことを理解しています。電子メールで私に連絡しないことも、アクセシビリティとセキュリティの公平な妥協のように思えます。私の銀行が郵便で私に連絡することに決めた場合、私の最初の質問は、私が真に書いた電子メールと、不正な意図で私の名前であなたに送信された電子メールをどのように見分けるかです。

自分の証明書を取得して銀行で何らかの方法で検証する必要がある場合、自分の電子メールクライアントでメッセージを取得できるようにするためだけに、個人的には既存のソリューションを使用することをお勧めします。

4
Dmitry Grigoryev