O objetivo do novo mecanismo SMTP de segurança estrita é o de assegurar que o tráfego de e-mail cifrado não seja vulnerável aos ataques man-in-the-middle.
Os engenheiros de alguns dos maiores provedores de serviço de e-mail de todo o mundo se uniram para melhorar a segurança do tráfego eletrônico na internet.
Idealizado por engenheiros da Microsoft, Google, Yahoo, Comcast, LinkedIn, 1 & 1 Mail e Media Development & Technology, o SMTP Strict Transport Security é um novo mecanismo que permite aos provedores de correio eletrônico definir políticas e normas para o estabelecimento de comunicações de e-mails cifrados.
O novo mecanismo se define como um Projeto que foi publicado ha semana passada para ser considerado como estandar de Internet Engineering Task Force (IETF).
O simples Protocolo de Transferencia de E-mails (SMTP, sua sigla em inglês), o qual se usa para transferir mensagens de correio eletrônico entre clientes de e-mail e servidores, assim como de um provedor a outro, remonta a 1982 e não construído com nenhuma opção de criptografia.
Necessidade crescente
Por esta razão, em 2002, foi intruduzida no protocolo uma extensão chamada STARTTLS como forma de utilizar TLS (Transport Layer Security) com conexões SMTP.
Infelizmente, durante a década seguinte, esta extensão não foi adotada amplamente e o tráfego de correio eletrônico entre servidores permaneceu - em grande medida - sem criptografia.
Diferente do HTTPS (HTTP seguro), o STARTTLS permite o que se conhece omo CRIPTOGRAFIA OPORTUNISTA : não valida certificados digitais apresentados pelos servidores de correio eletrônico sob a suposição de que, mesmo que a identidade de um servidor não possa ser verificada, criptografar o tráfego é melhor do que nada !
Isto significa que as conexões STARTTLS são vulneráveis ao Man-in-the-middle (quando um hacker está em posição de interceptar o tráfego e apresenta ao remetente do correio eletrônico um certificado qualquer, inclusive com assinatura digital, que ao ser aceito permite que o tráfego possa ser descriptografado). Estas conexões também são vulneráveis aos chamados Ataques de Versões anteriores de criptografia (onde simplesmente se elimina a criptografia).
A nova proposta de medidas de segurança estritas de transporte SMTP (SMTP STS) aborda estas duas questões e oferece aos provedores de e-mail (Google, Microsoft, Yahoo, entre outros) os meios para informar aos clientes de conexão TLS sua disposição e que o devem utilizar. Também diz a eles como o certifica deve ser validade e o que deveria acontecer se uma conexão TLS não possa ser negociada com segurança.
(Fonte : CIO América Latina)
Nenhum comentário:
Postar um comentário