DKIM, acronimo di DomainKeys Identified Mail è un meccanismo che consente di inserire, all’interno di un normale messaggio di posta elettronica, una firma digitale che servirà al destinatario per verificare che il mittente corrisponda a colui che effettivamente dichiara di essere. Questo sistema è utilizzato da provider quali Google, Yahoo!, Microsoft ed AOL che provvedono automaticamente ad inserire un’intestazione aggiuntiva (DKIM-Signature:
) tra gli headers dell’e-mail in uscita. Il server SMTP del destinatario può provvedere ad effettuare un controllo sia sul mittente che sul contenuto del messaggio riducendo così l’arrivo di posta indesiderata, messaggi truffaldini e scongiurando i rischi derivanti da una modifica delle comunicazioni e-mail eventualmente operata tra il sistema di partenza e quello di arrivo (i dettagli sul funzionamento di DKIM sono reperibili a questo indirizzo).
Nelle scorse ore si è diffusa la notizia che Google, Yahoo! e Microsoft si sarebbero attivate per risolvere una lacuna di sicurezza che interessava le rispettive implementazioni del meccanismo DKIM. Secondo l’analisi pubblicata dallo US-CERT, i vari fornitori di servizi di posta elettronica, utilizzavano una chiave crittografica di dimensione inferiore ai 1.024 bit aprendo così le porte, almeno in linea teorica, all’invio di messaggi fasulli utilizzando l’identità di un’altra persona.
Il problema è venuto a galla in seguito alle indagini compiute dal matematico statunitense Zachary Harris che è riuscito a fattorizzare la chiave crittografica da 512 bit utilizzata da Google Gmail. Harris, per dimostrare la sua scoperta, ha inviato a Larry Page, uno dei fondatori di Google, un mesaggio di posta elettronica che sembrava provenire da Sergey Brin, l’altro ideatore del colosso di Mountain View.
L’indagine dello studioso è proseguita mettendo alla luce un analogo problema non soltanto su Google ma anche su Yahoo! e sui servizi di posta Microsoft. A titolo esemplificativo, Harris ha aggiunto di aver rilevato l’uso di chiavi crittografiche lunghe 512 o 768 bit anche da parte di PayPal, Amazon, eBay, Apple, Dell, LinkedIn, Twitter, SBCGlobal, US Bank, HP, Match.com e HSBC.
Google, Yahoo! e Microsoft hanno già provveduto a risolvere il problema.