圖片來源: 

EFF

電子前線基金會(Electronic Frontier Foundation,EFF)周一(6/25)推出StarTLS Everywhere倡議,鼓勵電子郵件伺服器管理員部署「有效的」StarTLS,以防範政府或其它機構對電子郵件的監控與攔截。

迄今電子郵件的傳輸主要仰賴「簡單郵件傳輸協定」(Simple Mail Transfer Protocol,SMTP),在70年代就制定的SMTP尚無加密的概念,卻是目前電子郵件伺服器之間主要的通訊協定,而StarTLS則能與SMTP相輔相成,當郵件伺服器想要加密通訊時可傳送StarTLS命令予另一郵件伺服器,若對方也支援StarTLS就能展開加密傳輸。

有別於端對端(end-to-end)加密,StarTLS屬於節點對節點(hop-to-hop)之間的加密,只能加密郵件伺服器之間的通訊,避免遭到外人監控傳輸內容,但伺服器端仍能存取郵件內容,例如當一個Gmail用戶傳送郵件給EFF員工時,就算是啟用了StarTLS,不管是Gmail或EFF的郵件伺服器都仍然能閱讀郵件內容。

事實上,根據Google的統計,支援StarTLS的郵件伺服器已高達89%。然而,EFF卻發現當中絕大多數的郵件伺服器都缺乏可驗證的憑證,又替駭客開啟了一扇窗,只要能冒充郵件伺服器就能存取郵件內容,此外,就算是雙方都有完整的StarTLS配置與憑證,在伺服器傳送StarTLS命令時也是未加密的,駭客可攔截此一訊息,讓雙方誤以為對方並未支援StarTLS而未執行加密傳輸,形成所謂的「降級攻擊」(Downgrade Attack)。

因此,在EFF的StarTLS Everywhere倡議中,EFF提供了可作為郵件伺服器系統管理員的軟體,以讓郵件伺服器能自動向Let’s Encrypt取得有效的憑證,並協助伺服器的配置,以在使用StarTLS時能向其它的郵件伺服器展示憑證。為了防範降級攻擊,StarTLS Everywhere亦包含了支援StarTLS的郵件伺服器名單。

StarTLS Everywhere是從郵件伺服器著手來提供基本的郵件傳輸安全,主要是用來對抗外來的入侵者,目前仍處於開發測試階段,EFF亦鼓勵郵件伺服器管理員把自家支援StarTLS的網域加入名單中,或是提出StarTLS Everywhere的功能需求。


Advertisement

更多 iThome相關內容