Крупнейшие представители IT-индустрии ратуют за стандартизацию нового расширения к протоколу SMTP, способного, по их мнению, повысить безопасность передачи почтовых сообщений. Как отметил репортер Softpedia, проект спецификации, на днях внесенный на рассмотрение в IETF, показывает, что протокол SMTP STS (Strict Transport Security, строгая безопасность передачи информации) теоретически должен работать так же, как HTTPS с расширением HSTS, гарантируя конфиденциальность сообщений и подлинность серверов — участников обмена по шифрованным каналам.

Обосновывая свое предложение, авторы нового проекта, в котором приняли участие такие известные компании, как Microsoft, Google, Yahoo, LinkedIn и Comcast, еще раз подчеркнули, что SMTP, появившийся в 1982 году, разрабатывался без учета аспекта безопасности, так как в те времена редко кто задумывался о MitM-атаках или возможности слежки онлайн. С развитием Интернета такие угрозы стали реальностью, и необходимость защиты веб-сервисов, в частности укрепления ходовых протоколов, стала очевидной. В 2002 году SMTP был дополнен расширением STARTTLS, привнесшим шифрование (TLS) в почтовую связь.

Когда благодаря откровениям Сноудена широкие массы узнали о тотальной слежке со стороны спецслужб, вопрос защиты коммуникаций встал с новой остротой. В этой связи Facebook, ежедневно рассылающая миллиарды email-нотификаций участникам соцсети, решила проверить степень использования шифрования провайдерами-партнерами. Как выяснилось, в мае 2014 года STARTTLS применялся для 58% посланий Facebook; к августу того же года этот показатель вырос до 95%.

Следует отметить, что шифрование по STARTTLS применяется лишь в том случае, если оба провайдера — и отправитель, и получатель — его поддерживают, в противном случае письмо идет открытым текстом. К сожалению, этот протокол имеет серьезный недостаток: он не валидирует сертификаты почтовых серверов, посему злоумышленник может подменить отклик одной из сторон с тем, чтобы отменить шифрование.

Именно этот недочет и призван исправить SMTP STS. По замыслу его создателей этот протокол сможет работать в тандеме с SMTP STARTTLS во избежание отката SSL/TLS и MitM-атак. Как пишет Softpedia, новый механизм позволит обеим сторонам почтового обмена удостоверять подлинность друг друга и безопасным образом, исключающим стороннее вмешательство, решать, будут ли они использовать шифрование, если есть соответствующая поддержка, и что делать в том случае, если такая поддержка отсутствует.

Категории: Кибероборона