“鸵鸟ZIP”的风险评估

### “鸵鸟ZIP”的风险评估 #### 1. 引言 在当今社会，借助电脑、智能手机和互联网进行信息共享已成为社交活动中不可或缺的一部分。确保信息准确无误地传递给正确的人，并仅向其披露，这一重要性不言而喻。电子邮件长期以来一直是信息共享的重要渠道，人们通常通过在邮件中添加电脑或智能手机上保存或创建的电子文件来实现信息共享。然而，用于收发电子邮件的SMTP协议本身缺乏数据保护机制，这意味着邮件内容可能会被第三方查看。因此，为了保护信息安全，必须对收发的数据单独采用保护机制。 保护电子邮件附件的一种常见方法是使用ZIP格式。ZIP是一种将多个文件合并为单个文件的存档格式，它支持对存档内容进行压缩和加密，并且各种操作系统都将存档解压缩作为标准功能，使用时无需安装特殊应用程序，十分便捷。在通过电子邮件共享文件时，有时会使用经过加密的ZIP文件（本文将其称为加密ZIP文件）。这种文件需要密钥才能解密，常见的做法是使用密码作为密钥对ZIP文件进行加密。当加密ZIP文件作为附件添加到电子邮件中时，就需要以某种方式共享解密密钥。通常，解密密码会以纯文本形式通过同一渠道的另一封电子邮件单独发送。 这种将加密ZIP文件作为附件发送，同时将解密密码通过另一封邮件单独发送的方法虽然被广泛使用，但人们对其数据保护能力提出了诸多质疑。由于密码通过同一渠道发送，且与加密ZIP文件所在邮件时间相近，密钥保护不足，导致加密的数据保护水平可能低于预期。许多使用这种方法的用户虽然意识到了其数据保护能力有限，但由于组织规则、接收方组织要求或社会要求等原因，仍然在使用。这种行为类似于鸵鸟政策，即逃避现实或自我欺骗，因此我们将这种方法称为“鸵鸟ZIP”。 虽然关于“鸵鸟ZIP”的优缺点已经从多个角度进行了讨论，但相关文献缺乏系统性的整理。因此，本文将对这些讨论进行梳理，明确其优缺点、威胁，并通过调查与“鸵鸟ZIP”相关的环境来了解其现状。此外，还将构建一个在电子邮件收发过程中文件共享的信息泄露事件模型，基于该模型评估“鸵鸟ZIP”和替代措施的信息泄露风险，并对结果进行比较和讨论。 #### 2. 整理“鸵鸟ZIP”的讨论 目前已经有很多关于“鸵鸟ZIP”的批评，但这些批评涵盖多个不同的观点，缺乏系统性，包括风险评估也不够完善。因此，我们首先进行了文献综述和网络调查，以整理关于“鸵鸟ZIP”的讨论，并梳理其优缺点、威胁、使用背景、替代方法和风险评估等内容。 ##### 2.1 文献综述 我们使用CiNii的自由词搜索功能进行文献综述，选择了“误传”、“加密电子邮件”和“信息泄露预防电子邮件”作为搜索关键词。尽管每个关键词搜索都获得了136篇文档，但其中没有与本研究相关的学术讨论。 ##### 2.2 网络调查 在网络搜索中，我们使用Google搜索，选择了“加密ZIP文件单独邮件”、“加密ZIP稍后发送”和“带密码的ZIP文件业务”作为关键词，并且仅对日语网页进行调查。搜索结果众多，我们对其中11篇文章的内容进行了仔细整理。 ##### 2.3 “鸵鸟ZIP”的优点 通过调查，我们总结出“鸵鸟ZIP”的以下优点： - **防止误发**：单独发送密码时，有机会发现误发情况。 - **防止窃听**：加密ZIP文件对数据的保护在防止窃听方面具有一定意义。 - **环境独立性**：加密ZIP文件的提取受环境影响较小。 具体调查结果如下表所示： |优点|出现次数| | ---- | ---- | |防止误发|10| |通过密码保护降低信息泄露风险|3| |仅使用电子邮件和ZIP文件，无需引入新技术|1| |通过分开传递降低路由窃听风险|1| |支持ZIP规范的AES加密|1| ##### 2.4 “鸵鸟ZIP”的缺点 调查中发现的“鸵鸟ZIP”的缺点包括： - **电子邮件窃听风险**：由于使用同一渠道，防窃听效果较弱。 - **防止误传效果降低**：自动“鸵鸟ZIP”文件支持的防误发效果较弱。 - **加密ZIP文件强度低**：ZIP规范存在漏洞。 需要注意的是，加密导致邮件服务器无法进行安全扫描这一点，不仅适用于“鸵鸟ZIP”，还涵盖了加密ZIP文件、PGP或S/MIME邮件加密以及在线存储服务等多种方法，因此不属于“鸵鸟ZIP”的固有缺点。同样，服务器窃听电子邮件也不是“鸵鸟ZIP”的本质缺点。 具体调查结果如下表所示： |缺点|出现次数| | ---- | ---- | |使用同一渠道导致防窃听效果弱|4| |自动鸵鸟ZIP文件支持的防误发效果弱|2| |ZIP规范的漏洞|2| |加密使邮件服务器无法进行安全扫描|2| |服务器窃听|1| ##### 2.5 “鸵鸟ZIP”的威胁 调查确定了“鸵鸟ZIP”面临的两个主要威胁： - **恶意第三方窃听**：恶意第三方可能会窃取邮件中的信息。 - **邮件误发**：邮件可能会被错误地发送给他人。 ##### 2.6 “鸵鸟ZIP”的使用背景 在11篇网络文章中，有7篇提到“满足隐私标记和ISMS认证”是使用“鸵鸟ZIP”的背景原因。 ##### 2.7 “鸵鸟ZIP”的替代方法 调查得出的“鸵鸟ZIP”替代方法包括： - **PGP和S/MIME**：使用PGP或S/MIME对邮件进行加密。 - **通过不同路线发送密码**：例如通过短信、电话等方式发送密码。 - **文件共享服务和在线存储服务**：使用在线存储服务共享文件。 - **自动“鸵鸟ZIP”**：自动对附件文件进行ZIP加密处理并发送密码。 #### 3. 调查“鸵鸟ZIP”的现状 为了探究“鸵鸟ZIP”的使用背景，我们对与其相关的周边环境进行了调查。 ##### 3.1 规范 ZIP规范由PKWARE提供，并已被标准化为ISO/IEC 21320 - 1:2015。其加密基于对称密钥加密算法传统PKWARE加密（TPE），后来进行了修改，允许使用其他加密算法，如AES。然而，TPE已被证明存在漏洞，有报道称在配备GPU的计算机上运行开源软件Hashcat可以在商业环境中轻松解密TPE加密的文件。 ##### 3.2 典型环境中加密ZIP的支持情况 “鸵鸟ZIP”的一个优点是环境独立性。以下是对典型环境中加密ZIP支持情况的调查结果： - **操作系统支持**：我们选择了Windows 10、Mac OS X和Raspbian OS作为目标操作系统，调查了加密ZIP文件的创建、解压缩以及创建时的默认加密算法。结果发现，在这些操作系统环境中，默认仅部署了TPE加密算法。具体结果如下表所示： |操作系统|生成|默认算法|扩展操作系统详情| | ---- | ---- | ---- | ---- | |Windows|✓| - |仅TPE，Windows 10 pro| |macOS|TPE|仅TPE|macOS Mojave 10.14.6| |Raspbian OS|TPE|仅TPE|Linux 4.14.98 - v7，Raspbian OS: 9.8| 此外，我们还对移动设备中常用的iOS和Android OS进行了调查，发现这两种操作系统在Android 7.0环境和iOS 13.2版本下均无法生成加密ZIP文件。 - **典型软件支持**：我们对四种典型的电子邮件软件（Microsoft Outlook 2016 16.0.4266.1001、Mozilla Thunderbird 68.2.2、Apple Mail 12.4和Becky! Internet Mail 2.74.03）进行了调查，结果表明这些软件均不具备生成加密ZIP文件的功能。 - **典型网页邮件服务支持**：随着通过浏览器使用网页邮件服务的情况日益增多，我们对Google的Gmail和Yahoo等代表性网页服务进行了调查。2019年11月13日的调查结果显示，这些服务均没有生成加密ZIP文件的功能。 ##### 3.3 自动“鸵鸟ZIP” “鸵鸟ZIP”要求发送者和接收者都进行加密和解密操作，相较于普通电子邮件的收发更为繁琐。为了减轻发送者的负担，可以采用自动对附件文件进行加密和解密并发送密码的机制，我们将其称为自动“鸵鸟ZIP”。 自动“鸵鸟ZIP”有多种服务和解决方案，根据自动化类型主要分为三种：网关型自动“鸵鸟ZIP”、客户端型自动“鸵鸟ZIP”和邮件服务器型自动“鸵鸟ZIP”。 - **网关型自动“鸵鸟ZIP”**：是一种位于邮件服务器和发送者之间，专门用于加密ZIP文件的设备或服务。 - **客户端型自动“鸵鸟ZIP”**：通过安装在发送者的环境中，自动执行加密ZIP操作。 - **邮件服务器型自动“鸵鸟ZIP”**：邮件服务器本身具备执行自动“鸵鸟ZIP”的功能。 我们共发现了10种自动“鸵鸟ZIP”解决方案，其中6种为网关型，2种为客户端型，2种为邮件服务器型。此外，10种解决方案中有4种声称支持加密算法更改。我们还对10种疑似通过自动“鸵鸟ZIP”发送的电子邮件的加密算法进行了调查，结果显示所有加密ZIP文件均采用TPE加密。 #### 4. 电子邮件收发过程中文件共享的信息泄露事件模型 为了评估“鸵鸟ZIP”的风险，我们提出了一个在电子邮件收发过程中文件共享的信息泄露事件模型，该模型可以对包括替代措施在内的各种方法进行评估。在提出模型时，我们基于之前讨论的“鸵鸟ZIP”的优缺点，将威胁范围限制在电子邮件传输和接收过程中的信息泄露。 ##### 4.1 与电子邮件信息泄露相关的事件 下表列出了与电子邮件信息泄露相关的事件，每个事件都基于“误发”和“窃听”这两个“鸵鸟ZIP”面临的威胁。我们对电子邮件收发过程中可能发生误发和窃听的事件进行了检查和列举，并为每个事件分配了从a到i的事件ID。 |事件ID|电子邮件信息泄露事件| | ---- | ---- | |a|误发| |b|邮件服务器窃听| |c|通信渠道窃听| |d|邮件服务器或通信渠道外部窃听| |e|单独发送密码时发现误发| |f|恶意第三方解密加密ZIP文件| |g|误发邮件并通过不同渠道将密码发送给错误的接收者| |h|错误选择公钥，且其所有者与误发邮件的接收者相同| |i|错误选择允许访问云存储的用户，且该用户与误发邮件的接收者相同| ##### 4.2 电子邮件使用情况和信息泄露事件 下表展示了不同电子邮件使用情况以及在这些情况下的信息泄露事件，这些事件通过上述事件的组合进行评估。我们预先列出了影响电子邮件使用情况的因素，如附件保护的有无、文件共享方法、通信渠道加密的有无等，并根据这些差异对使用情况进行了细分。对于每种使用情况，导致信息泄露的事件通过表2中列出的从a到i的事件组合来表示。 |案例ID|电子邮件使用情况|事件| | ---- | ---- | ---- | |1|不加密附件 + 无SSL/TLS|a ∪ b ∪ c ∪ d| |2|不加密附件 + SSL/TLS|a ∪ b ∪ d| |3|以“鸵鸟ZIP”方式发送 + 无SSL/TLS|(e - ∩ (a ∪ b ∪ c ∪ d)) ∪ (e ∩ f ∩ (b ∪ c ∪ d))| |4|以“鸵鸟ZIP”方式发送 + 有SSL/TLS|(e - ∩ (a ∪ b ∪ d)) ∪ (e ∩ f ∩ (b ∪ d))| |5|使用自动“鸵鸟ZIP”发送 + 无SSL/TLS|a ∪ b ∪ c ∪ d| |6|以自动“鸵鸟ZIP”方式发送 + 有SSL/TLS|a ∪ b ∪ d| |7|通过替代渠道（SMS、邮件、电话）发送加密ZIP密码 + 有SSL/TLS|(a ∩ g) ∪ (f ∩ (b ∪ d))| |8|使用PGP和S/MIME发送加密邮件 + 有SSL/TLS|a ∩ h| |9|在单封邮件中发送共享URL和链接保护密码 + SSL/TLS|a ∪ b ∪ d| |10|在单独邮件中发送共享URL和链接保护密码 + SSL/TLS|e - ∩ (a ∪ b ∪ d)| |11|通过与电子邮件不同的路线发送共享URL和链接保护密码 + SSL/TLS|a ∩ g| |12|在单封邮件中发送共享URL和密码（链接保护 + 加密ZIP）+ SSL/TLS|a ∪ b ∪ d| |13|分别通过电子邮件发送共享URL和密码（链接保护 + 加密ZIP）+ SSL/TLS|e - ∩ (a ∪ b ∪ d)| |14|在单封邮件中发送共享URL（无链接保护）和加密ZIP密码 + SSL/TLS|a ∪ b ∪ d| |15|分别通过电子邮件发送共享URL（无链接保护）和加密ZIP密码 + SSL/TLS|(e - ∩ (a ∪ b ∪ d)) ∪ (e ∩ f ∩ (b ∪ d))| |16|通过与电子邮件不同的路线发送共享URL（无链接保护）和加密ZIP密码 + SSL/TLS|(a ∩ h) ∪ (f ∩ (b ∪ d))| |17|在单封邮件中发送共享URL（无链接保护）+ SSL/TLS|a ∪ b ∪ d| |18|使用具有访问控制的在线存储 + 通过电子邮件发送加密ZIP密码 + SSL/TLS|a ∩ i| ##### 4.3 事件模型和每种泄露情况的简化泄露概率 接下来，我们对表3中定义的每种泄露情况的概率进行了研究。由于表2中列出的每个事件并非独立发生，因此计算每种泄露情况的发生概率较为困难。但我们认为，即使是简化模型也具有一定意义，因此通过假设每个事件独立发生来获得简化概率。每种泄露情况的方程和概率如下表所示（此处假设表4存在，但原文未给出具体内容）。 综上所述，“鸵鸟ZIP”虽然在一定程度上具有防止误发、防止窃听和环境独立等优点，但也存在电子邮件窃听风险、防止误传效果降低和加密ZIP文件强度低等缺点。通过对其现状的调查和信息泄露事件模型的建立，我们可以更全面地评估“鸵鸟ZIP”的风险，并为选择合适的信息共享方法提供参考。同时，我们也应该关注其替代方法，如PGP和S/MIME、通过不同路线发送密码、文件共享服务和在线存储服务以及自动“鸵鸟ZIP”等，以提高信息共享的安全性。 ### “鸵鸟ZIP”的风险评估 #### 5. 基于模型的风险评估与讨论 在建立了电子邮件收发过程中文件共享的信息泄露事件模型后，我们将基于该模型对“鸵鸟ZIP”及替代措施的信息泄露风险进行评估，并对结果展开讨论。 ##### 5.1 风险评估方法 我们通过将实际值代入简化后的概率模型，来计算每种电子邮件使用情况的信息泄露概率。根据前面所列出的事件及事件组合，结合假设各事件独立发生的简化条件，对不同方法的风险进行量化分析。 ##### 5.2 评估结果分析 以下是对部分常见方法信息泄露风险的分析： |方法|信息泄露事件组合|风险分析| | ---- | ---- | ---- | |不加密附件 + 无SSL/TLS|a ∪ b ∪ c ∪ d|此方法风险极高，因为既没有对附件进行加密，通信渠道也未加密，误发、邮件服务器窃听、通信渠道窃听以及外部窃听的风险都同时存在。| |不加密附件 + SSL/TLS|a ∪ b ∪ d|虽然通信渠道加密减少了通信渠道窃听（事件c）的风险，但仍存在误发和邮件服务器及外部窃听的风险。| |以“鸵鸟ZIP”方式发送 + 无SSL/TLS|(e - ∩ (a ∪ b ∪ c ∪ d)) ∪ (e ∩ f ∩ (b ∪ c ∪ d))|单独发送密码有发现误发的机会（事件e），但由于通信渠道未加密且加密ZIP文件可能被恶意第三方解密（事件f），整体风险依然较大。| |以“鸵鸟ZIP”方式发送 + 有SSL/TLS|(e - ∩ (a ∪ b ∪ d)) ∪ (e ∩ f ∩ (b ∪ d))|通信渠道加密降低了部分窃听风险，但仍要考虑误发和加密文件被破解的情况。| |使用PGP和S/MIME发送加密邮件 + 有SSL/TLS|a ∩ h|此方法主要风险在于误发邮件且错误选择公钥（事件h），相对其他一些方法，风险有所降低，但仍需注意操作的准确性。| 从上述分析可以看出，不同方法的信息泄露风险差异较大。不加密的方式风险最高，而采用加密技术并结合安全的通信渠道能有效降低风险。“鸵鸟ZIP”方法虽然有一定的防误发和防窃听作用，但由于其加密强度和密钥传输方式的问题，风险仍然不可忽视。 ##### 5.3 与替代方法的比较 与“鸵鸟ZIP”相比，PGP和S/MIME等替代方法在安全性上有明显优势。PGP和S/MIME通过更强大的加密算法和密钥管理机制，能更好地保护邮件内容。通过不同路线发送密码的方法也能有效避免因同一渠道传输带来的风险。文件共享服务和在线存储服务则提供了更灵活和安全的文件共享方式，尤其是具有访问控制的在线存储服务，能进一步降低信息泄露的风险。 #### 6. “鸵鸟ZIP”使用背景的深入探讨 除了技术层面的风险评估，我们还从制度和其他角度对“鸵鸟ZIP”的使用背景进行了深入探讨。 ##### 6.1 制度要求 许多用户使用“鸵鸟ZIP”是因为组织规则或接收方组织的要求。一些企业为了满足特定的合规标准，如隐私标记和ISMS认证，会选择使用这种方法。这些认证强调了信息保护的重要性，但在实际操作中，“鸵鸟ZIP”可能只是一种形式上的满足，而无法真正保障信息的安全。 ##### 6.2 社会因素 社会上对于信息安全的认知和习惯也影响着“鸵鸟ZIP”的使用。部分用户可能由于对新技术的不熟悉或不信任，更倾向于使用他们熟悉的电子邮件和ZIP文件方式。而且，一些行业内可能存在默认的信息共享方式，导致“鸵鸟ZIP”在一定范围内被广泛应用。 ##### 6.3 成本与便利性 从成本和便利性的角度来看，“鸵鸟ZIP”具有一定的优势。它只需要使用电子邮件和ZIP文件，无需引入新的技术和系统，对于一些小型企业或个人用户来说，实施成本较低。同时，大多数操作系统都支持ZIP文件的基本操作，使用起来相对方便。然而，这种便利性是以牺牲一定的安全性为代价的。 #### 7. 建议与展望 基于以上对“鸵鸟ZIP”的全面分析，我们提出以下建议和对未来的展望。 ##### 7.1 建议 - **提高安全意识**：用户应充分认识到“鸵鸟ZIP”的局限性和风险，加强对信息安全的重视。企业可以通过培训和宣传，提高员工的安全意识，避免因操作不当导致信息泄露。 - **采用更安全的方法**：根据实际情况，选择更安全的信息共享方法，如PGP和S/MIME、通过不同路线发送密码、使用文件共享服务和在线存储服务等。对于有较高安全需求的企业，应积极引入先进的加密技术和安全系统。 - **加强制度建设**：企业和组织应建立健全信息安全管理制度，明确信息共享的规范和流程。在满足合规要求的同时，确保制度的有效性和可操作性。 ##### 7.2 展望 随着信息技术的不断发展，信息安全领域也将不断创新。未来可能会出现更安全、更便捷的信息共享方式，能够在保障信息安全的同时，满足用户对便利性的需求。同时，对于信息安全的监管和标准也将不断完善，促使企业和用户更加重视信息安全问题。 下面是一个简单的mermaid流程图，展示了选择信息共享方法的基本思路： ```mermaid graph LR A[开始] --> B{是否对信息安全性要求高} B -- 是 --> C[考虑PGP和S/MIME等加密方法] B -- 否 --> D{是否追求低成本和便利性} D -- 是 --> E[可考虑“鸵鸟ZIP”但要注意风险] D -- 否 --> F[选择其他合适的文件共享服务] C --> G[实施并监控安全情况] E --> G F --> G G --> H[结束] ``` 综上所述，“鸵鸟ZIP”在信息共享中既有其存在的合理性，也存在明显的安全风险。通过对其优缺点、现状、风险的全面分析，我们可以更好地选择适合的信息共享方法，保障信息的安全和有效传递。在未来的信息安全领域，我们期待能够看到更多创新的解决方案，为用户提供更可靠的信息保护。