Ново разширение на протокола SMTP, предложено за стандартизиране в IETF, ще обезпечи надеждна защита на имейл комуникацията от прихващане.

Група независими специалисти и пет водещи ИТ компании си поставят амбициозна цел да направят електронната поща по-сигурна. Това ще стане чрез ново разширение на протокола SMTP, което ще подсили защитата срещу прихващане.

Зад инициативата стоят компаниите Google, Microsoft, Yahoo, Comcast и LinkedIn. Тяхното предложение вече е внесено в организацията по стандартизиране Internet Engineering Task Force (IETF).

Разработен през 1982 г., протоколът за е-поща SMTP не поддържа криптиране. Той е създаден, когато интернет е била в начален етап на развитие и не е имало нужда от защита на комуникацията между едва няколко хиляди потребители на мрежата.

През 2002 г. за SMTP бе създадено разширение STARTTLS, което позволява изпращане на писма в кодиран вид. Когато преди три години Едуард Сноудън разкри прийомите за следене на Агенцията за национална сигурност (NSA), криптирането започна да набира популярност. Facebook, която изпраща милиарди пощенски известия всеки ден, предприе кодиране на почти всички съобщения.

Разширението STARTTLS се използва и до днес, но то не гарантира защита на данните, тъй като съдържа редица недостатъци, които позволяват на хакерите успешно да постигат своите цели.
 

Така например, хакерите могат да фалшифицират пощенския сървър и да убедят приложението на РС или друг пощенски сървър да изпрати съобщение във вид на прост текст – това става чрез принудителен отказ от криптиране или чрез фалшив сертификат.

Новият проект предвижда създаване на разширение STS (Strict Transport Security), което осигурява надеждна проверка на истинността на участниците в комуникацията. Теоретично, STS е аналогично на разширението HSTS за HTTPS. Както и HSTS, то трябва да осигури кодиран обмен на служебни съобщения между страните.

STS ще гарантира безопасна връзка и ще определя поведението на сървърите в случай, че не може да се установи автентичността на един от тях. Не се уточнява какви точно мерки ще се предприемат в подобни случаи.

Правилата на STS ще се задават посредством специални DNS записи, които ще се добавят към домейна на доставчика на пощенската услуга.  Предполага се, че това ще позволи защита на потребителите на е-поща от атаки “човек по средата”, при които хакерите могат да фалшифицирт втория участник във връзката и да получат неговите данни.

Разширението STS е представено във вид на чернова на стандарт със срок на действие до 19 септември тази година. При достатъчно голям интерес, работата по стандарта ще бъде продължена. Черновите в IETF нямат официален статут и могат да бъдат изтрити във всеки момент.