Warum sind ISPs ihre Kunden e-Mail-Verschlüsselung entfernen?
Vor kurzem wurde Verizon gefangen Manipulationen an seinem Kunden Web-Anfragen, einen super-Tracking-Cookie zu injizieren. Eine weitere Netzwerk-Manipulationen Bedrohung für Sicherheit der Benutzer von anderen Anbietern ans Licht gekommen: e-Mail-Verschlüsselung-Downgrade-Angriffe.
Forscher haben in den letzten Monaten, ReportedISPs in den USA und Thailand Abfangen von Daten ihrer Kunden um eine Sicherheit Flagge Streifen-STARTTLS genannt – von e-Mail-Verkehr. Das STARTTLS-Flag ist eine grundlegende Sicherheit und Schutz der Privatsphäre von e-Mail-Server verwendet, um die Verschlüsselung zu verlangen, wenn im Gespräch mit einem anderen Server oder client.1
Durch Entfernen dieser Flagge, diese ISPs verhindern, dass die e-Mail-Server erfolgreich verschlüsseln ihr Gespräch, und standardmäßig gehen die Server e-Mail unverschlüsselt zu senden. Einige Firewalls, darunter Cisco PIX/ASA Firewall tun dies um Spam aus in ihrem Netzwerk überwachen und verhindern, dass es gesendet werden. Leider führt dies Kollateralschaden: der sendende Server gehen, nur-Text e-Mail über das öffentliche Internet zu übertragen, wo sie abhören und Überwachung unterliegt.
Diese Art von STARTTLS Abisolieren Angriff ist meist unbemerkt geblieben weil es dazu neigt, auf private Netzwerke angewendet werden wo ist es ungewöhnlich, eine e-Mail-server2 ausgeführt. STARTTLS war auch relativ selten bis Ende 2013 als EFF Ratinggesellschaften anfing, ob sie es verwendet. Seit dieser Zeit umgesetzt viele der größten e-Mail-Anbieter STARTTLS um ihre Kunden zu schützen. Wir weiterhin ermutigen alle Anbieter STARTTLS für ausgehende und eingehende e-Mails implementiert. Googles Safer e-Mail Transparenz Bericht und starttls.infoare gute Ressourcen zur Überprüfung, ob ein bestimmten Anbieter hat.
Verschiedene Standards für e-Mail-Verschlüsselung
Das SMTP-Protokoll, das Fundament der e-Mail wurde nicht ursprünglich mit Sicherheit im Verstand entworfen. Aber Leute schnell begann es für alles von Einkaufslisten und Liebesbriefe, medizinische Beratung und investigative Berichterstattung zu benutzen, und bald erkannte ihre e-Mails vor neugierigen Blicken geschützt werden musste. Im Jahr 1991 umgesetzt Phil Zimmerman PGP, eine End-to-End e-Mail-Verschlüsselungsprotokoll, das heute noch in Gebrauch ist. Annahme von PGP ist wegen seiner hochtechnischen Schnittstelle und schwierigen Schlüsselverwaltung langsam gewesen. 1995 wurde mit ähnlichen Eigenschaften wie PGP, S/MIME, entwickelt. Und im Jahr 2002 wurde durch RFC 3207 STARTTLS für e-Mail definiert.
PGP und S/MIME-End-to-End Verschlüsselung sind, zwar STARTTLS Server-zu-Server. Das bedeutet, dass der Textkörper einer e-Mail mit, z.B. PGP geschützt, können nur von dem vorgesehenen Empfänger gelesen werden, während e-Mail mit STARTTLS geschützt von den Eigentümern der sendende Server und den Empfängerserver plus wer hacks oder Vorladungen Zugriff auf diese Server gelesen werden kann. Jedoch STARTTLS hat drei große Vorteile: Erstens, es schützt wichtige Metadaten (Linien zu unterwerfen und zu: / aus/CC: Felder), dass PGP und S/MIME nicht. Zweitens können Mail-Server-Operatoren STARTTLS implementieren, ohne dass Benutzer überhaupt ihr Verhalten zu ändern. Und drittens kann ein gut konfigurierte e-Mail-Server mit STARTTLS Forward Secrecy für e-Mails. Die beiden Technologien sind vollständig kompatibel und verstärken sich gegenseitig. Der sichere und private Ansatz soll PGP oder S/MIME mit einer Mail-Dienst verwenden, das STARTTLS für Server-zu-Server-Kommunikation verwendet.
Allerdings gibt es mehrere Schwachstellen in das STARTTLS-Protokoll. Die erste Schwäche ist, dass die Flagge darauf hinweist, dass ein Server STARTTLS unterstützt nicht selbst verschlüsselt, und unterliegt deshalb einer Manipulation, die können diesen Server verhindern, Aufbau einer verschlüsselten Verbindung. Diese Art der Manipulation ist genau das, was wir heute sehen. EFF arbeitet an einer Reihe von Verbesserungen an STARTTLS, genannt STARTTLS überall, das machen werden Server-zu-Server-Verschlüsselung robuster durch die Forderung von Verschlüsselung für Server, die bereits bekannt sind, zu unterstützen.
Es ist wichtig, dass ISPs diese unbefugte Entnahme von Sicherheitsmaßnahmen für ihre Kunden unverzüglich. ISPs fungieren als vertrauenswürdige Gateways an das globale Internet und es ist eine Verletzung dieses Vertrauen abzufangen oder Client-Datenverkehr, unabhängig davon, welches Protokoll ihre Kunden verwenden zu ändern. Es ist eine doppelte Verletzung, wenn eine solche Änderung deaktiviert die Sicherheitsmaßnahmen, die ihre Kunden verwenden, um sich zu schützen.
Dieser Artikel erschien auf der Electronic Frontier Foundation und ist unter Creative Commons Lizenz veröffentlicht. Bild von Steve Petrucelli unter Creative Commons Lizenz.