Alcuni big dell'IT propongono un sistema email più sicuro

Alcuni big dell'IT propongono un sistema email più sicuro

Una proposta da vari giganti della rete, tra cui Microsoft, Yahoo e Google, per un nuovo sistema di trasporto che possa assicurare la corretta crittografia di messaggi email

di pubblicata il , alle 10:21 nel canale Web
GoogleYahooMicrosoft
 

Il sistema di comunicazione email viene usato ormai da svariati decenni (proprio nelle scorse settimane si è spento il suo ideatore, Ray Tomlinson, che nei primi anni '70 ha ideato la posta elettronica) e la tecnologia di trasporto alla sua base, l'SMTP, è rimasta pressoché invariata in oltre quaranta anni.

Tramite SMTP la maggior parte delle email è inviata in testo semplice, non crittografato: un problema non di poco conto se si considera che oggi tramite email vengono scambiate informazioni private e commerciali di una certa riservatezza.

Per cercare di risolvere questo problema diversi anni fa è stato ideato il meccanismo SMTP SARTTLS, che tuttavia on ha goduto di ampia adozione anche per via di numerose falle in esso presenti, non da ultima l'incapacità di assicurare veramente che i messaggi inviati fossero realmente protetti da crittografia.

Questa tecnologia offre ancora il fianco ad attacchi di tipo man-in-the-middle, specie prima che un'email venga inviata, comunicando al mittente che non vi è alcun protocollo SSL attivo così che il client invii il messaggio non cifrato senza alcun avvertimento.

Una collaborazione tra ingegneri Google, Yahoo, Comcast, Microsoft, LinkedIn e 1&1 Mail & Media ha inviato all'Internet Engineering Task Force una proposta che possa risolvere questo problema in maniera più robusta: si tratta di SMTP Strict Transport Security che prevede un controllo di alcuni elementi prima che l'email venga inviata.

In particolare il client mittente andrebbe a controllare se il server di destinazione supporta la tecnologia SMTP STS e se il certificato è valido e aggiornato, così da assicurare che sia instaurato un canale di comunicazione con il server corretto. Nel caso i controlli dovessero dare esito negativo, il messaggio non verrà inviato e verrà data comunicazione all'utente. La proposta, consultabile qui, contiene numerosi dettagli tecnici per una possibile implementazione pratica.

Si tratta, per ora, solamente di una proposta che potrebbe anche non trovare applicazione concreta: la presenza di alcune grandi realtà del web lascia però ben sperare per una sua possibile implementazione in un futuro non troppo distante.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

3 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Cappej22 Marzo 2016, 10:33 #1
Buongiorno... ben svegliati!
elessar22 Marzo 2016, 11:28 #2
Ciao,
alcune precisazioni:

- il meccanismo si chiama STARTTLS, e consente di fare un "upgrade" della connessione da una TCP plain ad una connessione appunto TLS (ovvero SSL), esiste per retrocompatibilità, perché nulla impedisce di usare direttamente SMTP over TLS/SSL (quasi tutti i grandi provider lo supportano).

- SMTP STS è una misura di sicurezza che si "affianca" a STARTTLS o SMTP over TLS, e funziona in maniera analoga ad HSTS per HTTP. In sostanza, la prima volta che ci si collega ad un server SMTP (sia direttamente da parte dell'utente, sia se è un altro server SMTP ad effettuare la connessione e la consegna), tale server in pratica dice "io supporto TLS o STARTTLS; utilizza sempre e solo uno di questi metodi per collegarti a me". Chi si è collegato deve "ricordare" quest'informazione (per HTTP lo fa il browser, per SMTP STS lo farà il client di posta o l'altro SMTP) e collegarsi solo in maniera sicura. Il sistema impedisce i man-in-the-middle che sfruttano il downgrade della connessione.
*aLe22 Marzo 2016, 11:44 #3
Se penso che il 90% dei client di posta che ho visto usano ancora SMTP e POP "semplici"...

[CENTER][B][SIZE="5"]RABBRIVIDIAMO...
V[/SIZE][/B]
Link ad immagine (click per visualizzarla) [/CENTER]

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^