Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Безопасность личной и корпоративной почты Google наконец отказался от небезопасных 1024-бит ключей


Лучше поздно, чем никогда — в Google наконец-то озаботились огромной дырой в безопасности абсолютно всех своих сервисов и перешли на более надёжной шифрование SSL с длиной ключа 2048 бит.

Более года назад, в октябре 2012, математик Захария Харрис (Флорида, США) сообщил о найденной им уязвимости в доменных ключах длиной 768 бит и менее, используемых Gmail. Почтовый хостинг Gmail на тот момент вообще использовал 512-битные ключи, что давало возможность подделки сообщений электронной почты входящей/исходящей на/с этого хостинга почты. Исследователь не преминул этим воспользоваться (конечно же, исключительно в благих целях) и успешно направил подписанные взломанными им ключами сообщения основателям поискового гиганта Ларри Пейджу и Сергею Брину... друг от друга! Одураченный остроумным криптографом почтовый сервер Gmail, оперировавший ненадёжными ключами слишком низкой для обнаружения фальшивки длины, принял сообщения к доставке, не распознав в них подделку.

Никакой реакции от Google в связи с обнаружением такой бреши в их сервисе тогда не последовало и вот, более чем через год с момента найденной уязвимости, её и другие, непосредственно связанные с ней, наконец закрывают — в компании заявляют об отзыве последнего 1024-бит SSL-сертификата и замене их на 2048-битные. При этом предметом «гордости» поисковика является то, что процедура перехода была осуществлена, по их сообщению, на несколько месяцев раньше запланированной...

Несмотря на запоздалую реакцию для частных пользователей Gmail и других сервисов поисковика эта новость, разумеется, хорошая. Она обещает им бОльшую безопасность от перехвата их электронной почты и другой передаваемой с помощью сервисов Google информации, чем ранее. Это означает, что хакеры, перехватившие их трафик к/с Gmail, например, не смогут дешифровать его так легко, как это было до сего времени.

Однако, не стоит обольщаться - введение более стойкого шифрования совсем не означает повышения конфиденциальности хранимых в Google данных, так как нововведение касается только передачи, а не хранения данных. Хранение персональных данных как и ранее происходит в открытом виде, наиболее удобном для сканирования и автоматизированной обработки, в чём компания была неоднократно уличена.

Для пользователей корпоративной почты Google это ещё один тревожный сигнал чтобы подумать стоит ли оставаться с этим поставщиком услуг хостинга. Скорость реакции неповоротливого поисковика является удручающей. Вряд ли взломщики столь благородны как Захария Харрис или станут подделывать сообщения частных пользователей. А вот корпоративная переписка совсем другое дело — подделка корпоративной почты даёт злоумышленникам возможность несанкционированного манипулирования данными, перехвата конфиденциальной информации и может нанести организации-жертве невосполнимые финансовые и репутационные потери.


В избранное