現(xiàn)在的我們,已經(jīng)有了太多的消息溝通方法,但電子郵件仍舊是目前的信息時代中最常用的溝通方式之一。但是,在安全威脅遍布網(wǎng)絡(luò)空間的今天,你的電子郵件安全嗎?
電子郵件服務(wù)已經(jīng)存在了幾十年,其底端的傳輸層協(xié)議:簡單郵件傳輸協(xié)議(SMTP)目前已經(jīng)過于老舊,無法保護(hù)電子郵件通信的整體安全性。為了解決這一問題,人們在2002年推出了 SMTP STARTTLS ,它可以使用 TLS 將本不安全的連接升級為安全的。然而,STARTTLS卻無法抵御中間人攻擊和加密降級攻擊。于是……
SMTP STS:讓電子郵件更安全
谷歌、微軟、雅虎、康卡斯特、領(lǐng)英、1&1 Mail & Media Development 等流行電子郵件服務(wù)提供商協(xié)同合作,開發(fā)出了一種新型的電子郵件標(biāo)準(zhǔn),可以確保你的電子郵件是通過加密信道傳輸?shù)?,不會遭到竊聽。
這種標(biāo)準(zhǔn)被稱為 SMTP 嚴(yán)格傳輸層協(xié)議(SMTP STS),它是一種新的安全標(biāo)準(zhǔn),將改變電子郵件進(jìn)入你收件箱的方式。SMTP STS 的設(shè)計目標(biāo)是加強(qiáng)電子郵件通信安全性。最近,這一新協(xié)議已被提交給互聯(lián)網(wǎng)工程任務(wù)組(Internet Engineering Task Force)。
SMTP STS 的主要目的是杜絕中間人攻擊,讓 SMTP 協(xié)議變得更加安全。但STARTTLS這樣的安全協(xié)議為什么無法確保電子郵件安全呢?STARTTLS最大的問題在于:
STARTTLS很容易受到中間人和加密降級攻擊,因此無法保證消息的機(jī)密性、驗證服務(wù)器的真實性。攻擊原理如下:
在STARTTLS電子郵件機(jī)制中,如果客戶端開始ping服務(wù)器,會首先詢問服務(wù)器是否支持SSL。服務(wù)器回復(fù)什么在這里并不重要,關(guān)鍵在于以上的握手過程是在未加密環(huán)境下完成的。
如果攻擊者截取了這一未加密的通信,并改變握手過程,就能使客戶相信服務(wù)器并不支持加密通信。
總之,如果中間人策略奏效,就能夠?qū)崿F(xiàn)加密降級攻擊。哪怕目標(biāo)服務(wù)器支持加密,用戶也將使用非SSL方式進(jìn)行通信。SMTP STS 如何提升郵件安全性?
SMTP STS 在STARTTLS的基礎(chǔ)上加強(qiáng)SMTP標(biāo)準(zhǔn),以防止加密降級和中間人攻擊。
SMTP STS 基于兩種證書驗證策略,TLS 身份驗證和 DANE TLSA,它會同時檢查收件人是否支持 SMTP STS,是否擁有在有效期內(nèi)的加密證書。如果一切順利,它會讓信件通過。否則,它會制止電子郵件的發(fā)送過程,并將原因告知你。
簡而言之,SMTP STS 彌補(bǔ)了STARTTLS的不足,有效地抵御那些想要主動攔截或修改郵件的黑客。但目前,該標(biāo)準(zhǔn)還停留在草案階段,一個電子郵件安全的時代還需要我們的等待。
互聯(lián)網(wǎng)工程任務(wù)組考慮這項新提議的期限是六個月,即2016年9月19日到期。
原文鏈接: http://www.aqniu.com/tools-tech/14653.html