dilluns, d’octubre 18, 2004
Gmail implementa DomainKeys
Es tracta de la signatura electrònica dels correus electrònics, de servidor a servidor, i de manera transparent pels clients. La clau pública del domini es troba disponible a un registre TXT associat al domini. Per exemple, acab de rebre un email des de gmail.com que incorpora la següent capçalera:
La utilitat d'aquest sistema passa per resoldre els atacs de phishing i de màquines zombies que usen dominis d'altres entitats. Aquest spam usualment no incorporarà les capçaleres de DomainKey-Signature (o seran incorrectes, ja que la clau privada només es troba al servidor vàlid), de manera pot ser fàcilment descartat. El qual obliga als spammers a emprar dominis propis, però els servidors que emprin aquest sistema entre ells ja es lleven un problema de sobre.
A més, com que la informació es troba a les capçaleres, aquest sistema és capaç de resistir tant bounces com forwarding (si s'hi inclouen les capçaleres necessàries). Altres sistemes basats en la comprovació d'IP d'origen (per exemple el sistema de resolució inversa de domini, puaaaajjjjj puajj puckk kk) no ho soporten.
L'única pega és el protocol el va dissenyar Yahoo i es troba sota una sèrie de (vàries) patents nordamericanes :-( Abans he parlat d'un draft de l'IETF, però suposo que ja sabeu que l'IETF té i ha tingut seriosos problemes de criteri a l'hora d'acceptar standars sota la influència de patents o llicències de tercers (per exemple recordar el sonat sistema Sender-ID de microsoft, que per cert bye bye :-).
Almenys la llicència sembla bastant lliure, però desconeg si ho serà el suficient com per a que la comunitat de free software l'accepti. Ho sabrem en els propers dies.
DomainKey-Signature: a=rsa-sha1; c=nofws; s=beta; d=gmail.com;Segons aquesta capçalera i el draft de l'IETF, el domini a consultar és beta._domainkey.gmail.com. On beta correspon al camp s, _domainkey és una paraula reservada per a tal efecte, i gmail.com correspon al camp d:
h=received:message-id:date:from:reply-to:to:subject:mime-version:
content-type:content-transfer-encoding;b=S7CBB/fxLtPIVxoNb1US2T5f
ZyB4xZIfp7Uz/XQ5Rl55Si6bxShdk51QEWD17jHUYGykfn+QxeZlOPzobGWkbawmV
ljGFD9RssCZgL+B+TU4z4TFw22vxaTcLbNckg1k5Iv2szbbCfAdWTtXdBvvZqQVPI
0YGEIBNgzNmx7HAi0
$ host -t txt beta._domainkey.gmail.comAra només fa falta comprovar que la signatura incorporada al missatge (que inclou les capçaleres senyalades al camp h en el seu càlcul) correspont amb la que el receptor generi usant la clau pública oferida pel DNS. Ara per ara apart de la implementació pròpia de gmail, també hi ha desenvolupat un plug-in per sendmail.
beta._domainkey.gmail.com TXT "t=y; k=rsa;
p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC69TURXN3oN
fz+G/m3g5rt4P6nsKmVgU1D6cw2X6BnxKJNlQKm10f8tMx6P6bN7juTR
1BeD8ubaGqtzm2rWK4LiMJqhoQcwQziGbK1zp/MkdXZEWMCflLY6oUI
TrivK7JNOLXtZbdxJG2y/RAHGswKKyVhSP9niRsZF/IBr5p8uQIDAQAB"
La utilitat d'aquest sistema passa per resoldre els atacs de phishing i de màquines zombies que usen dominis d'altres entitats. Aquest spam usualment no incorporarà les capçaleres de DomainKey-Signature (o seran incorrectes, ja que la clau privada només es troba al servidor vàlid), de manera pot ser fàcilment descartat. El qual obliga als spammers a emprar dominis propis, però els servidors que emprin aquest sistema entre ells ja es lleven un problema de sobre.
A més, com que la informació es troba a les capçaleres, aquest sistema és capaç de resistir tant bounces com forwarding (si s'hi inclouen les capçaleres necessàries). Altres sistemes basats en la comprovació d'IP d'origen (per exemple el sistema de resolució inversa de domini, puaaaajjjjj puajj puckk kk) no ho soporten.
L'única pega és el protocol el va dissenyar Yahoo i es troba sota una sèrie de (vàries) patents nordamericanes :-( Abans he parlat d'un draft de l'IETF, però suposo que ja sabeu que l'IETF té i ha tingut seriosos problemes de criteri a l'hora d'acceptar standars sota la influència de patents o llicències de tercers (per exemple recordar el sonat sistema Sender-ID de microsoft, que per cert bye bye :-).
Almenys la llicència sembla bastant lliure, però desconeg si ho serà el suficient com per a que la comunitat de free software l'accepti. Ho sabrem en els propers dies.