Koniec anonimowości w Internecie
- 04.03.2008
Anonimowość na razie nie dotyczy użytkowników, lecz domen internetowych. Wszystko wskazuje na to, że dołączanie identyfikujących je podpisów cyfrowych do wszystkich e-maili już wkrótce zyska szerokie zastosowanie.
Anonimowość na razie nie dotyczy użytkowników, lecz domen internetowych. Wszystko wskazuje na to, że dołączanie identyfikujących je podpisów cyfrowych do wszystkich e-maili już wkrótce zyska szerokie zastosowanie.
Standard DKIM (DomainKeys Identified Mail), znajdujący się w końcowej fazie zatwierdzania specyfikacji przez organizację IETF, ma ogromną szansę szybkiej popularyzacji. Już teraz zyskał szerokie wsparcie ze strony producentów sprzętu i oprogramowania, największych usługodawców internetowych i dużych użytkowników systemów pocztowych, takich jak banki i instytucje finansowe.
Poza Yahoo! i Cisco - których technologie były podstawą do opracowania DKIM - wsparcie dla tego standardu deklarują również AOL, CipherTrust, Google, IBM, IronPort Systems (obecnie należy do Cisco), PGP, gmail.org, Sendmail, StrongMail Systems, Trend Micro, Verisign i wiele innych. Oprogramowanie i urządzenia zgodne z DKIM wprowadziły już na rynek m.in. Sendmail, IronPort, Alt-N technologies, Message Systems, Port25 Solutions i StrongMail Systems.
Rośnie popularność e-podpisu
listów "wysyłanych" przez banki i firmy zajmujące się e-handlem i e-płatnościami to oszukańcze podróbki - wynika z badań AOTA.
Warto również zauważyć, że wpływowa amerykańska organizacja BITS, skupiająca 100 największych w USA instytucji finansowych, opublikowała zalecenie wdrożenia DKIM przez swoich członków do października 2008 r. Choć podobne rekomendacje BITS dotyczą też innych rozwiązań, takich jak Microsoft Sender ID, to - zdaniem analityków - tego typu silne i jednogłośne wsparcie dla DKIM wróży temu standardowi wyjątkowo szybką popularyzację.
Wśród firm, które już wdrożyły to rozwiązanie, wykorzystując jeszcze formalnie nie zatwierdzone specyfikacje, można wymienić: Bank of America, American Greetings, Cisco, eBay i PayPal. Serwisy eBay i należący do tej firmy PayPal nawiązały współpracę z Yahoo!, której oprogramowanie Yahoo Mail filtruje pocztę tych firm, eliminując przesyłki sfałszowane. Jak twierdzą przedstawiciele eBay, wyniki wprowadzenia DKIM okazały się zachęcające, Yahoo! blokuje dziennie setki tysięcy, a czasem nawet miliony fałszywych listów. I dlatego obecnie firma prowadzi już rozmowy dotyczące wdrożenia DKIM z innymi dostawcami usług internetowych, zachęcając ich do podjęcia takiej decyzji.
Dlaczego DKIM
DKIM to mechanizm umożliwiający automatyczne dołączanie do wysyłanych e-maili zaszyfrowanego podpisu cyfrowego, który może zostać użyty przez system pocztowy odbiorcy do weryfikacji autentyczności nadawcy, a jeśli jej wynik jest negatywny - automatycznego odrzucenia listu w sposób przezroczysty, niewymagający żadnej reakcji użytkownika.
Tego typu mechanizm, jeśli zostanie powszechnie zaakceptowany i wdrożony, umożliwi zasadnicze ograniczenie spamu i phishingu, które wykorzystują obecnie istniejące słabości protokołów internetowych. Jest to szczególnie interesująca perspektywa dla banków lub dużych firm zajmujących się handlem bądź płatnościami elektronicznymi, bo według badań ruchu w Internecie, przeprowadzonych przez organizację Authentication and Online Trust Alliance (AOTA), aż 80% "wysyłanych" przez takie firmy listów to oszukańcze podróbki. Tak przynajmniej wynika z raportu opublikowanego w styczniu br. przez AOTA. Zawiera on wyniki analizy ponad 100 mln e-maili, które można było zidentyfikować jako wysłane w ciągu ostatnich 5 miesięcy przez firmy z listy Fortune 500.
Nie ulega wątpliwości, że mocne wsparcie DKIM przez duże korporacje wynika z narastającego przekonania, iż warto zainwestować w ochronę własnej reputacji, która jest coraz bardziej podważana przez masowy spam i phishing, wykorzystujący marki tych firm do oszukańczego wzbudzenia zaufania ze strony użytkowników Internetu. W ostatnich latach poczta elektroniczna stała się wygodnym i powszechnie stosowanym mechanizmem komunikacji, bez którego trudno sobie wyobrazić prowadzenie działalności biznesowej, a często jest to podstawowy element biznesu. Spam i phishing podważają zaufanie do e-maili i zmniejszają skłonność do korzystania z takich mechanizmów, jak choćby transakcje online. W efekcie, dla wielu firm oznacza to realne straty finansowe lub zwiększenie kosztów obsługi klientów. Choć DKIM nie jest czarodziejską różdżką, która wyeliminuje spam i phishing, to daje poważne szanse na istotne ograniczenie tych uciążliwych zjawisk.
Filtrowanie domen
firm zarządzających dużymi, konsumenckimi serwisami finansowymi i handlem elektro-nicznym podpisuje już e-mail, wykorzystując techniki Sender ID lub DKIM.
Należy podkreślić, że standard DKIM umożliwia filtrowanie e-maili tylko na poziomie infrastruktury internetowej. Nie eliminuje automatycznie spamu lub e-maili phishingowych, które mogą być bez problemu rozsyłane z domen, nie wpisanych do serwerów DNS obsługujących DKIM, ale również tych, które dołączają podpisy cyfrowe zgodne z tym standardem. W tym drugim przypadku możliwa jest jednak łatwa identyfikacja źródła listu i podjęcie działań zapobiegawczych. Podobnie jak PGP, DKIM bazuje na publicznym kluczu szyfrującym, ale podpisy cyfrowe dotyczą tylko domen. Zaletą tego rozwiązania jest m.in. to, że w porównaniu z adresami IP, nazwy domen są bardziej stabilnym elementem systemu internetowego.
W listopadzie 2007 r. przeprowadzono testy zgodności urządzeń i oprogramowania wykorzystującego funkcje DKIM zaimplementowane w produktach ok. 20 różnych firm. Ich wyniki nie wzbudziły poważnych wątpliwości i obecnie upływa termin zgłaszania ewentualnych uwag dotyczących standardu. Po wprowadzeniu drobnych poprawek, ostateczna specyfikacja zostanie niebawem opublikowana.
Problemy organizacyjne hamulcem dla DKIM
Bezpośrednie koszty wdrożenia DKIM nie powinny być wysokie - większość producentów sprzętu i oprogramowania do obsługi systemów pocztowych zamierza wprowadzić funkcje DKIM w ramach standardowej, bezpłatnej aktualizacji lub w postaci odpowiednich wtyczek plug-in. "Nie słyszałem o żadnej znanej firmie, która chciałaby na tym dodatkowo zarobić" - mówi Patrick Peterson, wiceprezes IronPort (obecnie Cisco).