Selv om e-post har eksistert i flere tiår, er den underliggende transportteknologi som brukes til å sende den, SMTP, likevel overraskende gammel. Flertallet av e-postene sendes i ren tekst, ukryptert rundt på internett ved hjelp av SMTP – selv om vi fortsatt er avhengige av denne kommunikasjonsmetoden for noen av våre mest private samtaler. Gladmeldingen i dag er at de store teknologiselskapene nå går sammen om sikker e-post!
SMTP STARTTLS ble oppfunnet for å fikse dette for mange år siden, men det klarte ikke å bli allment vedtatt og var full av feil, som endte opp med at man ikke visste om meldinger virkelig var sikre og krypterte. I dag er det med denne teknologien enkelt å innføre et såkalt man-in-the-middle mellomledd i en e-post før den sendes og fortelle avsenderen at det er ingen SSL aktivert, slik at klienten vil sende den ukryptert uten forvarsel.
Det nye forslaget, som ble sendt til Internet Engineering Task Force (IETF) på fredag, ble utarbeidet av ingeniører fra Google, Yahoo, Comcast, Microsoft, Linkedin og 1 & 1 Mail & Media Development, og går under navnet SMTP STS – SMTP Strict Transport Security.
Det foreslås å beskytte mot angriper som ønsker å fange opp eller endre e-post i transitt ved enten å utgi seg for målserveren eller bryte SSL gjennom ulike eksisterende angrep. Tanken er at når en e-post blir sendt til et domene som støtter SMTP STS vil avsenderen automatisk sjekke om mottager støtter kryptering og om sertifikatet er gyldig før sending, for å sikre at du snakker med riktig server. Hvis ugyldig, bør e-post ikke klare å levere og fortelle brukeren hvorfor. Forslaget inneholder et vell av tekniske detaljer på hvordan dette skal fungere i praksis.
Til syvende og sist, hvis dette forslaget lykkes, kan man endelig sørge for at e-postkommunikasjon er ordentlig sikret ved å håndheve regler som lenge har eksistert på nettet, men ikke din innboks.
TLS-kryptering, som også er en underliggende protokoll i den nye standarden, er allerede bredt støttet av Google, med mer enn 70 prosent av Gmails innkommende meldinger mottatt over SSL, men ulike problemstillinger kan bety at e-post faller tilbake til ren tekst uten at brukeren vet det. Man kan altså ikke være sikker på avsender og at innholdet er kryptert. Både avsender og mottager må over på den nye SMTP STS standarden for at man kan være trygg på både kontaktpunktautentisering og innholdskryptering. Siden standarden er bare et forslag akkurat nå har det en vei å gå før det blir virkelighet, men med støtte fra noen av verdens største tech-selskapene er det sannsynlig at det kan lykkes. Og lykkes det med overgang til sikker e-post for det store flertallet av brukere, er det et stort framskritt for IT-sikkerheten og personvernet i verden, og tilsvarende tilbakeslag for kriminelle og illegitime overvåkere. (KIlde: IETF, TNW, Reuters)
