Cisco Registered Envelope Service（CRES）、大きなセキュリティ欠陥？

私は実際にCisco Registered Envelopeを発明した人です。それはもともとPostXと呼ばれるスタートアップで作成されました。当初は、すべてのユーザーにパスワードを提供するように登録することはしませんでした。問題は、組織外の人（またはこれまでに一度も話したことがない人）にメッセージを送信する場合に、どうすればよいかということです。つまり、電話でそれらを呼び出して、パスワードを作成していると言うことができます：xyz 。明らかに、非対称/証明書ベースのソリューションはその中間者の問題を解決しますが、それらは表に持ち込む問題と複雑さの独自のホストを持っています。元のPostX製品は、S/MIME、PGP、Secure WebMailポータル、SaaSキーサービスを使用するエンベロープ、顧客データベースまたはLDAPシステムを使用するエンベロープ、オフラインで機能する共有秘密鍵を使用するエンベロープ、そしておそらくさらにいくつかの実施形態。
これが、市場で下落したものです。これらのさまざまな方法には、それぞれプラスとマイナスがあります。確かに、S/MIMEの設定は非常に安全ですが、それも複雑で、大量の事前準備が必要です。 Cisco Registered Envelopeの利点は、文字通り新しい受信者に電子メールを送信でき、アプライアンスがHIPAA違反の可能性を検出し、ワンタイムキーでメッセージを自動的に暗号化して、暗号化されたメッセージを送信できることです。彼らが登録する前に受信者に。誰かがその最初のメッセージを傍受すると問題が発生することは間違いありませんが、誰かがあなたの電子メールにいる場合はすでに問題があります。最終的に、ほとんどの企業は、他の暗号化された電子メールソリューションは複雑すぎるか、メッセージをWebサイトに永久に保存する必要があることに気づきました。私たちは基本的に、一方の端にセキュリティがあり、もう一方の端に使いやすさを備えたラインがあり、それはそのラインのどこに住みたいかによって異なります。 HIPAAレキシコンを使用したCRESテクノロジーの優れた点は、送信者が文字通り何もせずに暗号化をトリガーすることです。 「マイケルジョンソンの手術のために部屋6を予約してください」という言葉が電子メールに表示され、顧客がHIPAAスキャナーをオンにしている場合、その電子メールは自動的に暗号化されます。このモデルには、1つの最終的な利点があります。 PostX/Ciscoがキーウェアハウスとして機能する場合、複数の異なる会社、複数の送信者からCRESを取得すると、パスワードはあなたとCiscoの間にあるため、すべてに同じパスワードを使用します。さらにいくつかの利点：各メッセージには固有のキーがあります。これにより、そのキーを無効にすることで送信済みメールを撤回することもできます。また、組織が送信しているものに関係なく同じフィッシング対策パスフレーズもサポートしています（エンベロープの外側に表示されるフレーズまたはWordを選択すると、そのフレーズが入力されないことがわかりません）あなたのパスワード）。明らかに、私が少し偏っている発明者として、私たちはこの製品で妥当な成功を収め、電子メールの暗号化に気を配っている人はほとんどいなかったようです。欠点はありますが、いくつかの欠点があり、実質的に痛みのないものを使用すると何も使用しないよりはましです。