secure password

Google, Microsoft, Yahoo φέρνουν μαζί νέο πρωτόκολλο κρυπτογράφησης SMTP

Μια ομάδα ανεξάρτητων ερευνητών ασφάλειας μαζί με μεγάλες tech εταιρείες στην Silicon Valley κατέθεσαν την περασμένη Παρασκευή, 18 Μαρτίου , μια πρόταση για ένα νέο πρωτόκολλο ηλεκτρονικού ταχυδρομείου που ονομάζεται STS (Strict Transport Security).

Secure Password smtp

Το SMTP δεν υπήρξε ποτέ ένα ασφαλές πρωτόκολλο, κυρίως επειδή κατά τη στιγμή που εφευρέθηκε, το 1982, η online επιτήρηση δεν ήταν και τόσο μεγάλο πρόβλημα μεταξύ των λίγων χιλιάδων υπολογιστών που ήταν συνδεμένοι στο Internet εκείνη την εποχή.

Καθώς το Web αναπτυσσόταν, και εμφανίστηκαν πρώτα οι hackers και μετά οι εγκληματίες του χώρου, οι εταιρείες τεχνολογίας έφεραν την επέκταση STARTTLS στο STMP, ως μέθοδος στη χρήση κρυπτογραφημένων καναλιών για την αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου.

Δυστυχώς, η STARTTLS δεν ήταν ποτέ τόσο ασφαλής όσο προβλεπόταν αρχικά, κυρίως λόγω μιας σειράς από ελαττώματα σχεδιασμού που επέτρεπε στους επιτιθέμενους να κοροϊδέψουν τους ώστε να πουν στο αποστολέα του email ότι δεν υποστηρίζουν κρυπτογράφηση και ότι θα πρέπει να στείλει τα δεδομένα σε απλό κείμενο.

  Η Google κλείνει την εφαρμογή Street View

Είναι αυτή ακριβώς η τρύπα που οι ερευνητές ασφαλείας προσπαθούν να διορθώσουν με αυτή τη νέα επέκταση του πρωτοκόλλου SMTP που ονομάζεται STS.

Θεωρητικά, αυτή η νέα επέκταση μοιάζει με την HSTS (HTTP Strict Transport Security) επέκταση του HTTPS. Ακριβώς όπως και η HSTS, η SMTP STS ελέγχει την εμπιστευτικότητα του μηνύματος και την αυθεντικότητα του διακομιστή και έτσι προχωρά στην διαδικασία εκκίνησης ενός κρυπτογραφημένου καναλιού επικοινωνίας ηλεκτρονικού ταχυδρομείου.

Η STMP STS θα επιτρέψει σε δύο διακομιστές που ασχολούνται με την ανταλλαγή e-mail να επικυρώσουν κρυπτογραφικά ο ένας τον άλλον, και να αποφασίσουν με ασφαλή τρόπο, αν θα πρέπει να χρησιμοποιούν κρυπτογράφηση, αν η κρυπτογράφηση υποστηρίζεται, και τι πρέπει να κάνουν αν δεν υποστηρίζεται.

Ανάμεσα στα μεγαλύτερα ονόματα εταιρειών που συμμετέχουν σε αυτή την προσπάθεια φιγουράρουν τα , , , LinkedIn, και Comcast. Επί του παρόντος, η πρόταση είναι μόνο ένα σχέδιο προδιαγραφής προς το IEEE (Internet Engineering Task Force), αλλά κρίνοντας από το πόσες πολλές και μεγάλες εταιρείες συμμετέχουν, οι πιθανότητες είναι ότι θα το δούμε ως μια επίσημη προδιαγραφή πολύ σύντομα.

  LastPass νέα παραβίαση, αυτή τη φορά σε δεδομένα χρηστών

Πέρυσι, η Oracle είχε υποβάλει μία παρόμοια πρόταση που ονομάζεται DEEP (Deployable Enhanced Email Privacy).

Written by Δημήτρης

O Δημήτρης μισεί τις Δευτέρες.....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).


  +  17  =  24