BerandaComputers and TechnologyMengautentikasi pesan ke Hunter Biden menggunakan DKIM

Mengautentikasi pesan ke Hunter Biden menggunakan DKIM

Proyek ini memvalidasi bahwa email “pistol merokok” dari cerita NYPost itu sebenarnya adalah email valid yang dikirim 6 tahun yang lalu. Kami tahu ini karena GMail menandatanganinya secara kriptografis dengan “DKIM”.

Repositori ini berisi email asli, ditambah kunci DKIM Google di saat email dikirim. Kunci ini tidak lagi disediakan oleh DNS GMail server, jadi Anda harus meretas server sendiri, seperti menggunakan BIND9 sebagai resolver dengan Zona Kebijakan Respons (RPZ).

Ingatlah bahwa meskipun email divalidasi, konteksnya tidak. Mungkin ini mencerminkan pertemuan rahasia untuk berkonspirasi dengan Wakil Presiden Biden. Atau, mungkin saja pria menghadiri salah satu dari banyak acara sosial Washington D.C. di mana orang-orang berjabat tangan dengan politisi dan berbasa-basi. Seperti yang diklaim Richelieu berkata “Beri aku enam kata dari pria paling jujur ​​dan aku akan menemukan sesuatu untuk menggantungnya” . Beri saya email dump dari orang yang paling jujur, dan saya akan menariknya keluar dari konteksnya untuk menggantungnya di pengadilan media sosial.

Seperti yang Anda duga, banyak orang mencoba menantang ini. Banyak dari mereka mencerminkan kesalahpahaman, atau orang yang mengirimkan tautan ke artikel yang mengklaim “melanggar DKIM” tanpa membaca atau memahaminya artikel. Namun, ada tiga tantangan. Ini adalah:

  • (Q) tetapi kami tidak bisa mendapatkan kunci validasi dari Google. (A) telah diarsipkan di seluruh web, dan karenanya dapat dipercaya
  • (Q) Gmail memverifikasi bahwa akun tersebut berasal dari akun itu, tetapi bukan siapa yang mengontrol akun tersebut (B) kami melihat akun ini digunakan oleh Pozharskyi di tempat lain
  • (Q) Kolom Tanggal: sebenarnya bukan stempel waktu pesan. (A) Kunci penandatanganan berlaku dari Jan-2012 hingga Okt-2015, memberikan jendela cap waktu kapan harus dikirim

Ini dijelaskan lebih detail di bawah ini.

FAQ

” Apa tepatnya yang divalidasi? “

Apa yang divalidasi oleh tanda tangan di email ini:

  • dikirim dari akun khusus ini, v.pozharskyi.ukraine@gmail. com , diketahui telah digunakan oleh Vadym Pozharskyi, seorang anggota dewan Burisma
  • penerima yang dituju adalah ke akun hbiden@rosemontseneca.com , diketahui telah digunakan oleh Hunter Biden
  • bahwa itu dikirim antara tahun 2012 dan 2016
  • Subjek: dan isi belum diubah dengan cara apa pun

“Bagaimana cara mereplikasi ini?”

Ada skrip python yang akan melakukan validasi untuk Anda dalam repo ini.

Jika Anda menjalankan resolver Anda sendiri, mereka semua memiliki kemampuan untuk mengganti record tertentu, sehingga Anda dapat memasukkan satu catatan ini (untuk 20120113._domainkey.gmail.com TXT ) sehingga alat apa pun akan berfungsi, seperti add-on Pemverifikasi DKIM untuk Thunderbird. Google “Zona Kebijakan Respons untuk BIND9”. Itulah yang pertama saya lakukan.

Setelah Anda mereplikasi bahwa email diverifikasi, coba ubah dan lihat apakah mereka masih memverifikasi. Ubah kemudian dan ubah tanda tangan. Singkirkan. Temukan beberapa cara agar verifikasi dapat terjadi dengan email yang dipalsukan / diubah.

“Seluruh dump email diverifikasi atau hanya yang ini?”

Saya hanya memvalidasi satu email ini. Ini satu-satunya yang dikirim ke saya.

Banyak yang tidak dapat divalidasi. Pesan tersebut dikirim dari domain yang tidak menggunakan DKIM untuk menandatangani email keluar. Orang lain menggunakan DKIM saat dikirim, tetapi kami tidak bisa lagi temukan kunci publik yang akan mengautentikasinya (sudah bertahun-tahun).

“Tidak dapatkah tanda tangan dipalsukan, diputar ulang, dipalsukan, atau ditipu?”

Bukan tanda tangan kriptografi, setidaknya, tidak dengan cara yang praktis / wajar.

Mereka menggunakan trik matematika kripto kunci publik di mana sepasang kunci yang cocok dihasilkan. Sesuatu yang ditandatangani dengan satu, kunci pribadi , hanya dapat diverifikasi dengan lainnya, kunci publik .

Tanda tangan kunci publik itulah yang mendasari Bitcoin. Jika Anda dapat menemukan cara untuk memalsukannya tanda tangan, Anda bisa langsung menghasilkan miliaran dolar.

Triknya adalah Anda harus merahasiakan kunci privat tersebut. Bitcoin terkadang dicuri ketika orang membobol komputer dan mencuri kunci pribadi dompet. Jika seseorang bangkrut ke GMail, mereka juga dapat memalsukan tanda tangan.

Begitu banyak orang menanyakan pertanyaan ini. Mereka tahu ‘checksum’ dasar, dan tahu itu jika Anda berubah isinya Anda bisa mengubah checksum agar sesuai. Langkah yang tidak mereka pahami adalah bahwa kunci publik terlibat, tanpa mengetahui kunci privat yang cocok, itu ada tidak ada cara untuk menyesuaikan tanda tangan agar sesuai dengan isinya.

“Oke, Anda telah memverifikasi metadatanya, tetapi tidak bisakah konten badan email diubah?”

Tanda tangan mencakup metadata dan isi. Perubahan sekecil apa pun membatalkan tanda tangan.

“Oke, Anda telah memverifikasi konten email, tidak bisakah metadatanya dipalsukan, seperti email asli yang dikirim bulan lalu?”

Tanda tangan mencakup metadata dan isi. Ya, beberapa metadata email tidak tercakup oleh tanda tangan, hal-hal esoterik seperti X-Received: header. Tapi tanda tangannya menutupi yang kami pedulikan: Tanggal: , Dari: , Kepada: , dan Subjek: .

“Oke, email dan metaday, tapi bagaimana dengan amplopnya?”

Beberapa orang mengutip artikel Wikipedia yang mengatakan itu Tanda tangan DKIM tidak mencakup amplop pesan . Ini benar, tetapi itu tidak berarti apa yang mungkin Anda pikirkan.

Ini seperti jika seseorang mengirimi Anda salinan cetak email ini. Alamat di luar tidak terkait dengan isinya – bukan berarti isinya tidak mengotentikasi.

Bagaimanapun, Google memaksa keduanya untuk menjadi sama. Jika email mengatakan Dari: a Akun Gmail, dan diautentikasi oleh kunci DKIM GMail, lalu asalnya pengguna terotentikasi dari akun itu.

“Apakah itu timestamped?”

Kolom Tanggal: di header / metadata disertakan dalam tanda tangan. DKIM memverifikasi konten bidang itu (yang tidak diubah seseorang setelah penandatanganan), tapi bukan karena tanggalnya benar. Informasi penipuan apa pun dapat diletakkan di sini.

Tetapi penipuan harus terjadi pada saat email dikirim. Dan waktu itu harus dilakukan sebelum Oktober 2016, ketika GMail mengubah kunci penandatanganan DKIM mereka.

Jadi, ini secara efektif diberi label waktu “beberapa waktu setelah Januari 2012 dan sebelum Oktober 2016”.

Dengan kata lain, kami tahu itu berasal dari Vadym Pozharskyi, tetapi dia tidak bisa mengirimkannya sekitar setahun kemudian dari header email yang diautentikasi mengklaim bahwa dia mengirimkannya, seperti April 2016 bukannya April 2015.

Ada stempel waktu lain di header / metadata email, tetapi sebenarnya tidak divalidasi oleh DKIM, dan karenanya, dapat dipalsukan.

“Bagaimana dengan perubahan yang sangat kecil? Tidak bisakah mereka lolos dari deteksi?”

Ini seperti menjadi “sedikit hamil”. Jika Anda mengubah hal terkecil, maka keseluruhan tanda tangan gagal – dan verifikasi gagal. Tidak peduli seberapa kecil.

Nah, kecuali spasi. DKIM menggunakan skema verifikasi “santai” yang memungkinkan, secara pasti keadaan, spasi untuk ditambahkan.

Tetapi bahkan itu bukan masalah di sini. Pesan ini menggunakan pengkodean “yang dapat dicetak dengan kutipan”, yang berarti hampir tidak ada tempat untuk menambahkan spasi.

“Tetapi server DNS GMail tidak lagi menyediakan kunci publik”

Ini memang menjadi masalah – untuk sebagian besar domain email yang bukan GMail.

Namun dalam kasus ini, karena GMail sangat populer, ada ribuan sumber kunci lama, termasuk arsip situs lama, file log dari server, dan sebagainya di.

Jadi, secara teori sistem hanya bekerja jika domain yang dimaksud saat ini menyediakan kunci publik untuk memvalidasi tanda tangan, dalam praktiknya kita bisa mengetahui GMail kunci lama meskipun mereka tidak menyediakannya secara langsung.

Kunci yang tepat adalah salah satu file dalam proyek ini, tetapi tentu saja, saya bisa berbohong. Anda dapat memverifikasi ini dengan googling kunci, mencari arsip seperti Archive.org, atau berdasarkan situs logging khusus yang dipertahankan salinan dari kunci lama.

“Pemverifikasi DKIM saya hanya dapat mengambil kunci dari server DNS”

Ya, itu masalah. Alat dan pustaka verifikasi DKIM lainnya dapat digunakan kunci dari file, jadi Anda dapat mencobanya ( Seperti yang ini).

Yang saya lakukan adalah mengatur BIND9 sebagai resolver DNS saya, lalu dikonfigurasi a “Zona Kebijakan Respons” (RPZ) dengan catatan yang satu ini berubah. Ini berarti bahwa itu akan memberikan resolusi langsung untuk nama lain, tetapi menimpa respons yang benar (dari “tidak ditemukan”) dengan kunci lama yang saya ambil dari situs internet.

Mengganti record tertentu dalam resolver dengan cara ini adalah praktik yang cukup umum. Jika Anda sudah mengelola server DNS Anda sendiri, Anda dapat dengan mudah memperbaruinya ke berikan kunci publik yang benar.

“Bagaimana dengan halaman ini yang menyatakan bahwa DKIM bisa dibodohi?”

Saya banyak “ahli” Twitter yakin bahwa DKIM bisa dipalsukan. Mereka hanya mengulangi rumor tanpa mengerti caranya. Mereka juga tidak mereproduksi verifikasi ini atau menunjukkan bagaimana email ini secara khusus bisa saja dipalsukan.

Sumber paling umum yang mereka kutip adalah halaman web berikut yang mengklaim DKIM tidak berfungsi:

https: // noxxi.de/research/breaking-dkim-on-purpose-and-by-chance.html

Tidak ada yang berlaku untuk email ini. Ini tidak berlaku karena:

  • tidak ada bidang metadata duplikat di email yang sebenarnya
  • tidak ada kolom panjang ( l=) di email sebenarnya
  • kolom content-transfer-encoding disertakan dalam tanda tangan

Demikian pula, tautan berikut tentang masalah DKIM tidak valid untuk hal yang sama alasan:

https: / /www.zdnet.com/article/dkim-useless-or-just-disappointing/

Pesan tersebut tidak memiliki masalah yang dijelaskan.

“Jadi Email itu asli, tetapi akunnya bisa saja palsu, oleh seseorang yang mengklaim menjadi Pozharskyi. “

Yup, itu mungkin. Kami hanya membuktikan a Vadym Pozharskyi mengirim email, bukan itu Vadym Pozharskyi mengirimkannya. Seseorang yang, pada tahun 2014, mengklaim telah menjadi “V. Pozharskyi dari Ukraina”.

DKIM hanya membuktikan itu akun memang adalah v.pozharskyi.ukraine@gmail.com . Anda dapat membuat akun rob.graham.usa@gmail.com , dan GMail akan dengan senang hati memverifikasi pesan keluar tersebut tanpa memverifikasi orang yang mengirim mereka sebenarnya bernama Robert Graham. Dalam acara apa pun, bahkan jika itu bisa memverifikasi nama asli seseorang, itu tidak bisa memverifikasi itu sama Robert Graham sebagai diriku sendiri.

Jadi, kami tahu email (berdasarkan DKIM) berasal dari seseorang yang mengaku jadilah Vadym Pozharskyi, tetapi tidak ada cara untuk membuktikan bahwa itu adalah Vadym kami.

Tapi ada sumber lain yang memvalidasi bahwa dia menggunakan alamat ini. Misalnya, ada dokumen ini dari investigasi Senat yang menunjukkan dia menggunakan alamat Gmail itu tahun lalu.

DKIM memverifikasi tanggal ( Tanggal: ). Jika seseorang mengaku sebagai Pozharskyi mengklaim telah bertemu ayah Hunter, maka itu adalah konspirasi dari 2014 bukan konspirasi dari tahun 2020. Itu akan berarti seseorang yang mengetahui detail-detail tentangnya Hunter Biden mengiriminya pesan palsu jika itu terjadi dalam pemilihan mendatang mereka akan dapat meretas akun email Hunter untuk mengungkapnya.

Seperti teori mereka meretas GMail untuk mendapatkan kunci privat, jika konspirasi secanggih ini, mereka dapat melakukan email yang lebih baik. Yang ini timpang.

“Bagaimana Anda melihat metadata rahasia itu, di debugger?”

Dalam beberapa kasus, metadata dalam file seperti foto memerlukan alat khusus. Tapi email hanya teks, bahkan metadata. Anda dapat membuka di editor teks apa pun. Klik saja hal ini tautan dan buktikan sendiri.

“Kunci DKIM pendek dapat diretas.”

Saat GMail pertama kali memulai penandatanganan DKIM, mereka menggunakan kunci RSA 1024 bit. Ini pendek cukup bahwa negara bangsa (seperti Rusia) dapat memecahkannya.

Tapi sejak 2012, mereka sudah melakukannya menggunakan kunci RSA 2048 bit , yang bahkan semua negara bangsa yang bekerja sama tidak dapat memecahkannya.

Catatan: tautan itu juga merupakan sumber lain yang memverifikasi bahwa kunci ini adalah yang benar.

“Apakah Anda menerima email ini dari laptop? Atau dikirim kepada Anda?”

Email tersebut dikirimkan kepada saya oleh seorang jurnalis. Ini mengarah pada dua poin.

Yang pertama adalah validasi email yang solid terlepas dari sumbernya . Kami tahu itu email yang dikirim oleh GMail sekitar waktu itu oleh akun yang disebutkan itu. Tidak peduli dimana itu datang, kita bisa tahu fakta-fakta ini.

Yang kedua adalah meskipun saya memiliki salinan drive laptop, drive tersebut lolos melalui begitu banyak tangan dalam perjalanan ke saya sehingga tidak dapat dipercaya. Maksudku, jika Anda meragukan cerita “laptop” untuk dimulai, saya rasa saya tidak memiliki salinannya dapat memvalidasi bahwa cerita mereka benar.

Saya pribadi memiliki banyak keraguan tentang dari mana email ini berasal, dan keseluruhan “narasi” yang mereka coba dorong. Terlepas dari itu, saya dapat memvalidasi file fakta dasar tentang email ini.

Read More

RELATED ARTICLES

LEAVE A REPLY

Please enter your comment!
Please enter your name here

Most Popular

Recent Comments