EFF推动StarTLSEverywhere以避免电子邮件遭到监控

2018-06-27 16:31

导读: 在EFF的StarTLSEverywhere倡议中,EFF提供邮件服务器系统管理员软件,以让邮件服务器能自动向Let’sEncrypt取得有效的凭证,并协助服务器的配置,以在使用StarTLS时能向其它的邮件服务器展示凭证。而为了防范降级攻击,倡议也包含了支援StarTLS的邮件服务器名单。
图片来源: 

EFF

电子前线基金会(Electronic Frontier Foundation,EFF)周一(6/25)推出StarTLS Everywhere倡议,鼓励电子邮件服务器管理员部署“有效的”StarTLS,以防范政府或其它机构对电子邮件的监控与拦截。

迄今电子邮件的传输主要仰赖“简单邮件传输协定”(Simple Mail Transfer Protocol,SMTP),在70年代就制定的SMTP尚无加密的概念,却是目前电子邮件服务器之间主要的通讯协定,而StarTLS则能与SMTP相辅相成,当邮件服务器想要加密通讯时可传送StarTLS命令予另一邮件服务器,若对方也支援StarTLS就能展开加密传输。

有别于端对端(end-to-end)加密,StarTLS属于节点对节点(hop-to-hop)之间的加密,只能加密邮件服务器之间的通讯,避免遭到外人监控传输内容,但服务器端仍能存取邮件内容,例如当一个Gmail用户传送邮件给EFF员工时,就算是启用了StarTLS,不管是Gmail或EFF的邮件服务器都仍然能阅读邮件内容。

事实上,根据Google的统计,支援StarTLS的邮件服务器已高达89%。然而,EFF却发现当中绝大多数的邮件服务器都缺乏可验证的凭证,又替骇客开启了一扇窗,只要能冒充邮件服务器就能存取邮件内容,此外,就算是双方都有完整的StarTLS配置与凭证,在服务器传送StarTLS命令时也是未加密的,骇客可拦截此一讯息,让双方误以为对方并未支援StarTLS而未执行加密传输,形成所谓的“降级攻击”(Downgrade Attack)。

因此,在EFF的StarTLS Everywhere倡议中,EFF提供了可作为邮件服务器系统管理员的软件,以让邮件服务器能自动向Let’s Encrypt取得有效的凭证,并协助服务器的配置,以在使用StarTLS时能向其它的邮件服务器展示凭证。为了防范降级攻击,StarTLS Everywhere亦包含了支援StarTLS的邮件服务器名单。

StarTLS Everywhere是从邮件服务器着手来提供基本的邮件传输安全,主要是用来对抗外来的入侵者,目前仍处于开发测试阶段,EFF亦鼓励邮件服务器管理员把自家支援StarTLS的网域加入名单中,或是提出StarTLS Everywhere的功能需求。