Nowy protokół, dzięki któremu wiadomości email będą bardziej bezpieczne

Informatycy zatrudnieni w m.in. w Google, Microsoft, Yahoo, Comcast i LinkedIn, wspólnie opracowali nowy mechanizm, który zapewnia wiadomościom e-mail przesyłanym przez Internet dużo większy niż obecnie poziom bezpieczeństwa.

Rozwiązanie SMTP STS (Strict Transport Security) pozwala dostawcom usług pocztowych definiować polityki dotyczące szyfrowania wiadomości pocztowych oraz zarządzać nimi.

Protokół został opublikowany w połowie marca i wysłany do IEFT (Internet Engineering Task Force) z prośbą o podjęcie prac zmierzających do uznania go za standard. Jak wiadomo, obowiązujący obecnie protokół, który zawiaduje procesem przesyłania wiadomości pocztowych przez Internet to SMTP (Simple Mail Transfer Protocol). Oprogramowanie SMTP zostało opracowane ponad 30 lat temu i uznane za standard w 1982 roku, ale w pierwszej wersji nie wspierało żadnego mechanizmu szyfrowania danych.

Zobacz również:

  • Google zmienia algorytmy - więcej reklam w Gmailu
  • Messenger będzie wreszcie szyfrować wiadomości w trybie E2EE

Dlatego w 2002 roku do protokołu SMTP dodano rozszerzenie STARTTLS, które pozwala przesyłać dane w bezpieczny sposób, wspierając mechanizm TLS (Transport Layer Security). Mechanizm ten nie spotkał się niestety z życzliwym przyjęciem i do dzisiaj wiele serwerów wymieniających wiadomości e-mail nie stosuje go.

Facebook zbadał na początku 2014 roku ruch pocztowy i odkrył, że tylko 58% wiadomości e-mail jest transmitowanych w zaszyfrowanej postaci. Po tym gdy Snowden ujawnił fakt, że NSA przechwytuje i odczytuje wiadomości e-mail, sytuacja uległa radykalnej zmianie, i już na początku 2015 roku ponad 90% wiadomości pocztowych było obsługiwanych przez mechanizm szyfrowania STARTTLS.

Jednak połączenia obsługiwane przez mechanizm STARTTLS mają kilka wad. Najważniejsza z nich to fakt, że nie są odporne na ataki typu man-in-the-middle. Nowy protokół SMTP Strict Transport Security jest odporny na takie poczynania hakerów. Pozwala on definiować polityki bezpieczeństwa wprowadzając do systemu DNS dodatkowe rekordy, które są odczytywane i respektowane przez pocztowe serwery.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200