Эксперты некоммерческой организации Electronic Frontier Foundation объявили о старте инициативы, призванной повысить безопасность электронной переписки. Проект STARTTLS Everywhere упростит администраторам почтовых серверов задачу по шифрованию коммуникационных каналов и автоматизирует получение цифровых сертификатов от Let’s Encrypt.

Как объясняют представители EFF, проблема компрометации электронных писем связана с протоколом SMTP, который появился на заре Интернета — даже раньше HTTP. Разработчики не заложили в него ни возможность шифрования пересылаемой информации, ни обязательную аутентификацию участников переписки. В результате злоумышленники могут перехватывать сообщения, манипулировать их содержанием и служебными данными (например, менять поле «От кого»).

Для противодействия подобным вмешательствам специалисты по интернет‑безопасности дополнили SMTP расширением STARTTLS — оно позволяет создать зашифрованное соединение поверх обычного. Перед тем как отправить письмо, почтовый сервер сообщает серверу-адресату о необходимости открыть защищенный канал. После этого перехваченные данные будет невозможно прочитать.

У этой технологии есть несколько уязвимостей. Отсутствие сквозного шифрования (end-to-end encryption) позволяет злоумышленнику узнать содержание письма на стороне отправителя или адресата. Кроме того, многие почтовые серверы не проверяют актуальность цифровых сертификатов, которые STARTTLS использует для аутентификации участников переписки. Поэтому администраторы не спешат их верифицировать.

Как следствие, распространение расширенного протокола идет медленными темпами — если один из участников переписки не использует STARTTLS, обмен происходит через небезопасное соединение. При этом эксперты EFF отмечают, что даже при соблюдении всех условий преступник может перехватить сообщение о старте TLS-соединения, и оно не дойдет до адресата. В этом случае реципиент не откроет защищенный канал, и данные можно будет прочитать. Такая схема получила название downgrade-атаки.

Проект STARTTLS Everywhere поможет бороться с этими проблемами. Специализированное программное обеспечение позволит администраторам почтовых серверов автоматически получать бесплатные цифровые сертификаты от Let’s Encrypt. Этот сервис начал работу в 2015 году также по инициативе EFF, чтобы подстегнуть распространение HTTPS. Три года спустя организация сообщила о преодолении отметки в 50 млн выданных сертификатов.

Также в рамках новой инициативы эксперты создают список почтовых серверов, которые поддерживают STARTTLS. Достоверный источник этих данных поможет бороться с downgrade-атаками, поскольку участники переписки смогут открывать защищенный канал, не дожидаясь ответа от второй стороны.

Эксперты подчеркивают, что STARTTLS Everywhere направлен на администраторов, а не на рядовых пользователей. Однако последние могут узнать, поддерживает ли их почтовый сервис безопасное соединение, на сайте www.starttls-everywhere.org и при необходимости подтолкнуть своего провайдера к переходу на безопасные технологии.

Недавно проблемы электронной почты уже попадали в повестку дня EFF. В конце мая эксперты организации сообщили об уязвимостях протоколов шифрования PGP и S/MIME, показав, как применение HTML-верстки при отображении писем в почтовых клиентах открывает злоумышленникам содержание зашифрованных сообщений.

Категории: Главное, Кибероборона