22 марта 2016 г., 12:05
Группа, включающая в себя независимых экспертов безопасности и технологические гиганты Силиконовой Долины, 18 марта представила проект нового протокола электронной почты, SMTP STS (Strict Transport Security).
Оригинальный протокол STMP был создан в 1982 г. На тот момент к Интернету было подключено всего несколько тысяч компьютеров и обеспечение безопасности не имело большого значения. В ходе дальнейшего роста Всемирной Сети и активизации хакеров было разработано расширение STARTTLS для SMTP, использовавшее шифрованные каналы для пересылки электронных писем.
К сожалению, STARTTLS не обеспечивало ожидаемой защиты. Ошибки, допущенные при проектировании расширения позволяли взломщикам выдавать себя за почтовые серверы — сообщать отправителю, что получатель не поддерживает шифрование и данные нужно отослать в обычном текстовом виде.
Именно эту «дыру» сейчас и пытаются заблокировать новым расширением протокола SMTP под названием STS. Оно должно работать вместе со STARTTLS, позволяя избегать атак MitM и даунгрейда SSL/TLS, примерно так же, как HSTS (HTTP Strict Transport Security) параллельно с HTTPS укрепляет защиту HTTP.
STMP STS позволяет двум серверам, вовлечённым в обмен электронной корреспонденцией, криптографически идентифицировать друг-друга и защищённым от взлома способом договориться о как использовать шифрование, если оно поддерживается, или, что делать в противном случае.
В разработке STS принимали участие такие флагманы индустрии, как Microsoft, Google, Yahoo!, LinkedIn и Comcast. На данном этапе, их предложение в Internet Engineering Task Force это лишь черновой вариант спецификации, но учитывая количество и авторитет сторонников STS, шансы того, что вскоре будет утверждён и официальный вариант, весьма велики.
В прошлом году похожее предложение, DEEP (Deployable Enhanced Email Privacy) представила компания Oracle.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365