web-dev-qa-db-ja.com

Gmailアカウントの所有権を証明する

誰かがGmailのメールアドレスの所有権をリモートで反論の余地なく証明する方法はありますか? DKIM署名の使用を検討しましたが、これには問題があります。

PGP鍵署名ロボットDKIM確認済みメール

GoogleのOpenIDまたはOAuth APIを使用することも検討しましたが、Googleアカウントのプライマリアドレスとして他のメールをリストできると思います。特に、Googleのドキュメントには次のように記載されています: "ユーザーのメールアドレス。これは一意ではない可能性があり、主キーとしての使用には適さない可能性があります。"メールが検証された場合、APIはレポートを作成しますが、検証が正しいかどうかはわかりません単純なメールループよりも重要 https://developers.google.com/identity/protocols/OpenIDConnect

Googleがメールをユーザーアカウントにリンクするのを困難にしているのには十分な理由があることを理解しています。ただし、ユーザーがこの関連付けのデモンストレーションを選択できると便利です。

明確化のために編集:ここでのコンテキストは、PGPキーへの署名、または電子メールにリンクされたS/MIME証明書の付与の1つです。署名している証明書が「送信者」フィールドを偽造したり、署名者のメールプロバイダーとGoogle(署名者のメールプロバイダ)。ここでは、現実のアイデンティティは重要ではありません。私は誰かがだれでもかまいません。リクエストを行った人物が、申し立てられたメールアカウントのユーザー名/パスワードを持っている人物であることのみを気にします(または、Googleで働いていると思います...)。ここでの目的は、bootstrapより安全な通信形式にすることです。

ここでの議論は、標準の電子メールループでは不十分であるということです。電子メールは偽造や傍受される傾向があります。しかし、チャネル外の安全な方法があるかもしれません(例OAuthまたは公開鍵をGoogle+に投稿する)。他に何もない場合、そのようなアプローチは、すでに遍在する電子メールループを超えて追加の証拠を提供します。残念ながら、 、OAuth、Google +、YouTubeのコメントなどをメールアドレスに確実にリンクすることはできません。

3
afourney

上記のコメントに記載されているアイデアに従って(Neilなどに感謝)私はGoogleメールの透明性レポートを見つけました。

http://www.google.com/transparencyreport/saferemail/?hl=en

これにより、Gmail> Gmailメッセージングが暗号化されていることが明確になります。

Googleユーザーから他へのメールですか?Googleユーザーは転送中に暗号化されますか?

はい。これには、Gmail、Google Apps、Google +からの通知が含まれます。このため、このレポートは、Googleが関与する2つのプロバイダーのうちの1つに過ぎないメール配信に焦点を当てています。

これで問題は解決すると思います。

Gmailアカウントへの受信メールを受信すると、DKIM署名をチェックして、Google SMTPサーバーから送信されたメールを確認できます(したがって、Gmailの受信トレイまで暗号化されていました)

送信方向では、メールはGoogleサービスから送信されたものであり、受信者のGmail受信トレイに至るまで暗号化されます。

誰かがメールを送信し、メールで送信されたチャレンジ(すべてGmail内)に応答できる場合、これはアカウントの所有権の非常に説得力のある証拠になると思います。もちろん、Googleのエンジニアがメッセージを保存して検査することもできますが、「そのメールアカウントからのメールの送受信を許可されている」というクラスに属している個人を受け入れてもかまいません。

3
afourney