随着人们对隐私安全关注度的提升,科技行业开始推行部署更高安全级别的措施,比如端到端加密。但是在网站和应用服务之外,电子邮件领域却长期被大家所忽视。万幸的是,电子前沿基金会(EFF)已经注意到了这块短板。这家隐私倡导组织于今日宣布了 STARTTLS Everywhere,旨在提高电子邮件生态系统的安全性。
(配图来自:电子前沿基金会)
作为“简单邮件传输协议”(SMTP)的补充,尽管 STARTTLS Everywhere 未引入“端到端加密”(end-to-end),但却提供了“逐跳加密”(hop-to-hop):
EFF 指出,STARTTLS 并不是普通用户可以简单地运用到现有的电子邮件服务上的东西、也不是端到端加密方案的替代品。
相反,这是为电子邮件服务器管理员和服务提供商而设计,以便集成到他们的系统中。
在一篇博客文章中,电子前沿基金会解释了 STARTTLS 的工作原理:
作为 SMTP 协议的补充,STARTTLS 允许两个电子邮件服务器之间协商使用加密的发送渠道。
通过这种方式来安全地发送邮件,任何监听其通信的人都将只能看到加密的数据。
换言之,接入全球互联网骨干节点的网络观察员们(比如 NSA),都无法在传输过程中看到消息内容,且他们需要使用更具针对性的方法。
EFF 称,为了简化适当的证书验证操作,系统管理员可以配置电子邮件服务器上的软件,以便通过 Let's Encrypt 项目自动获取有效的证书。
此外该软件还可以调用 STARTTLS,将有效证书提交给其它电子邮件服务器。
最后,STARTTLS Everywhere 包含了一个承诺支持该方案的电子邮件服务器的‘预加载列表’,有助于检测降级攻击。
最终结果是,我们可以用上更安全的电子邮件服务,以及更少的大规模监视。
感兴趣的朋友可以翻阅 EFF 的另一片文章,以深入了解包括管理员配置在内的技术细节:
https://www.eff.org/deeplinks/2018/06/technical-deep-dive-starttls-everywhere
如果想要了解某个电子邮件服务商的真实安全等级,也可以通过这里查询:
[编译自:BetaNews]