DKIM нельзя было доверять? Математик обнаружил что крупнейшие e-mail сервисы уязвимы к фишингу.

Найденная ученым брешь позволяла фишерам подделывать DKIM подписи e-mail сообщений Google, Microsoft, Yahoo! и других интернет компаний.

Американский математик Зак Харрис сумел непреднамеренно спасти от мошенничества тысячи людей, рассказывает Wired. Все началось со случайного письма, полученного Харрисом от рекрутингового отделения Google. Ему предлагали обсудить возможность работы в Google, которая Харрису была малоинтересна, но его внимание привлекла чрезвычайно слабая цифровая подпись письма (DKIM, DomainKeys Identified Mail) – цифровой сертификат, с помощью проверки DNS подтверждающий, что письмо действительно пришло с домена, заявленного в электронном адресе отправителя.

Текущие стандарты DKIM предписывают, чтобы все ключи, используемые для идентификации, были как минимум 1024-битные. Рекрутер Google же, предлагая в письме место программиста, отправил его с 512-битным ключом. Харрис подумал, что это является своего рода тестом, который ему предлагается пройти, взломал ключ и отправил поддельное письмо якобы с домена google.com Ларри Пейджу, подписавшись Сергеем Брином.