Google, Microsoft, Yahoo… обнародовали новый стандарт защиты Email

в 21:38, , рубрики: email, gmail, microsoft, validator, Yahoo, защита, интернет, шифрование

Инженеры из самых больших провайдеров сервисов электронной почты объединились для улучшения защищенности почтового трафика в интернете.

Придуманный инженерами из Google, Microsoft, yahoo, Comcast, Linkedin, 1&1 Mail & Media Development & Technology протокол «SMTP Strict Transport Security» — это новый механизм, который позволяет Email провайдерам определять политики и правила для установления зашифрованных соединений.

(Для начала несколько ссылок:)
[ Защити свои данные! Инструменты, которые вам понадобятся для защиты ваших соединений и данныхГлубокое погружение в шифрование от InfoWorld, отчет. | Научись защищать свои системы с InfoWorld. Защищенная почта. ]

Новый механизм является черновиком, который опубликован в конце предыдущей недели для рассмотрения как стандарт Продвижения Задач Интернет Инженерии (IETF).

Простой почтовый протокол (SMTP), который используется для отправки сообщений между почтовыми клиентами и серверами, как правило от одного провайдера к другому датирован 1982 годом и не предусматривает собственного шифрования.

По этой причине, в 2002, как дополнение под названием STARTTLS было добавлено к протоколу для внедрения TLS (Защита Транспортного Слоя) вместе с SMTP соединением. К сожалению, последующее десятилетие, оно не было широко использовано, и Email траффик, проходящий между серверами, по большей части был не зашифрован.

Все поменялось после 2013 года, когда, не без помощи бывшего фэбеэровца Эдварда Сноудена, просочились секретные документы, где освещены факты широкомасштабной слежки за Интернетом секретными службами США, Великобритании и других стран.

В мае 2014, Фэйсбук, где отправляются миллиарды оповещательных электронных писем пользователям каждый день, запустили тест и “нашли” 58% писем с паролями через зашифрованные с помощью STARTTLS соединения. За Август того же года, цифра выросла до 95 процентов.

Однако есть проблема, на отличие HTTPS(защищенный HTTP), STARTTLS позволяет применять оппортунистическое шифрование. Оно не проходит валидацию цифровых сертификатов на email серверах, допускаются даже те, что не могут пройти эту проверку, шифрование трафика все же лучше чем ничего.

Это значит что STARTTLS соединения уязвимы даже для “man-in-the-middle” атак. когда взломщик перехватывает трафик, где могут присутствовать любые сертификаты отправителя, даже самоподписанные, и они могут быть получены что даст возможность расшифровывать трафик в дальнейшем. Более того, STARTTLS соединения уязвимы для так называемых разоружающих атак, когда шифрование может быть попросту удалено.

Предоставленные SMTP со Строгой Защитой Транспорта (SMTP STS) адреса решают оба эти вопроса. Это дает почтовым провайдерам средство подключаться к клиентам, у которых TLS присутствует и должен использоваться. А так же сообщает вторым как присланный сертификат должен быть проверен и что должно случиться если TLS соединение может быть небезопасным.

В этих SMTP STS политиках определяются специальные DNS записи, добавленные в доменные имена почтовых серверов. Протокол предоставляет механизм автоматической валидации этих политик и оповещений о любых непредвиденных ситуациях.

Серверы так же могут предоставить клиентам кэш ихних SMTP STS политик и указать срок их жизни, определяют порядок борьбы с атакующими по методике “man-in-the-middle” с фальшивыми политиками, когда последние пытаются подключиться.

Предложенный протокол схож с HSTS, что означает предотвращение от HTTPS “downgrade” атак через кеширование политик доменных имен HTTPS в браузере. Это, однако, предполагает что первое соединение с данным клиентом на сервер осуществлен без разрывов; иначе мошеннические политики так же могут быть закешированы.

Следовательно по последним данным из Google, 83% электронных писем отправленных ихними пользователями к другим провайдерам зашифрованы, но 69% входящих писем приходят по шифрованному каналу.

Так же много несоответствий в шифровании электронной почты между регионами по всему миру, у провайдеров в Азии и Африке дела обстоят намного хуже чем их европейских и американских коллег.

Оригинал статьи: http://www.infoworld.com/article/3046850/security/google-microsoft-yahoo-and-others-publish-new-email-security-standard.html

ЗЫ: Призываю к конструктивной критике перевода, спасибо.

Автор: slonofanya

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js