Инженерный совет Интернета (Internet Engineering Task Force, IETF) предлагает ввести стандарт всеобщего шифрования электронных писем, который позволит отказаться от использования простого текстового формата (cleartext). Сейчас небезопасное взаимодействие между почтовым клиентом и сервером оставляет взломщикам лазейку для перехвата переписки.

Созданный в 1986 году совет объединяет интернет-проектировщиков, сетевых операторов и провайдеров, которые работают над развитием протоколов и архитектуры Сети. Рабочий вариант нового стандарта подготовили специалисты компаний Windrock и Oracle Кит Мур (Keith Moore) и Крис Ньюман (Chris Newman).

В документе они пояснили, что хотя IMAP, POP и SMTP уже поддерживают защищенный TLS-протокол, в некоторых ситуациях безопасность конечного пользователя остается под угрозой. Так, применение STARTTLS позволяет создать зашифрованный канал поверх обычного TCP-соединения вместо того, чтобы открывать отдельный порт. Однако предварительный обмен данными между клиентом и сервером происходит в незащищенном формате.

Эксперты утверждают, что все коммуникации нужно вести через TLS с использованием выделенного порта. Документ определяет этот подход как «повсеместный TLS» (implicit TLS).

Авторы документа призывают провайдеров электронной почты «как можно скорее» отказаться от небезопасных протоколов, а разработчиков Outlook, Mac Mail, Thunderbird и прочих клиентов — внести соответствующие изменения в свои продукты.

Специалисты уточняют, что их предложения не касаются тех случаев, когда при обмене данными применяется end-to-end-шифрование. По их мнению, устаревшие криптографические протоколы должны уйти в прошлое, а базовый уровень безопасности должен соответствовать версии TLS 1.1.

В октябре прошлого года специалисты из SEC Consult обнаружили уязвимость Microsoft Outlook, из-за которой к зашифрованным электронным письмам прикреплялись их копии в простом текстовом формате. Теоретически компрометация сетевого соединения открывала преступникам доступ к содержанию сообщений. Эксперты отмечали, что при настройке Outlook с использованием SMTP текст можно было перехватить на любом почтовом сервере по пути к адресату. Microsoft оперативно устранила брешь в октябрьском пакете обновлений.

Категории: Аналитика, Кибероборона