Una insolita coalizione che include Google, Microsoft, Yahoo, Comcast, LinkedIn e alcuni ricercatori indipendenti ha proposto l’adozione di un nuovo standard di comunicazione sicuro per le email, un’estensione crittografica alla posta elettronica standard pensata per correggere i difetti delle soluzioni che hanno fin qui provato a contrastare la violazione della riservatezza delle comunicazioni personali e non.
La nuova proposta descrive un meccanismo chiamato SMTP Strict Transport Security (SMTP STS), un modo per permettere ai mail server di “dichiarare la loro capacità” di stabilire una connessione sicura (TLS), i tipi di verifica dei certificati crittografici e l’eventuale reazione di rigetto/conferma di invio del messaggio in caso di mancanza del supporto ai certificati TLS.
Obiettivo di SMPT STS è chiudere la “falla” di sicurezza che caratterizza le email sin dalla loro creazione (1982), quando i tempi tecnologici erano molto meno maturi e l’idea che l’intelligence americana (NSA) e non spiasse il mondo intero era ancora annoverabile tra le teorie dei complotti improbabili.
Un primo tentativo di rendere sicure le email era stato fatto con l’estensione STARTTLS , ma è risultata essere vulnerabile ad attacchi di spoofing per costringere il client a inviare i messaggi di posta in formato testuale senza protezione crittografica.
Ora SMPT STS prova ancora una volta a migliorare la sicurezza delle email facendo quello che HSTS già fa per HTTP, vale a dire mitigare le possibilità di attacco e impedire l’invio del testo “liscio” senza protezione crittografica. Il fatto che il nuovo protocollo sia promosso pesi massimi della Rete suggerisce il successo dell’iniziativa.
Alfonso Maruccia
Ti potrebbe interessare
23 mar 2016