اگر ایمیل رمزنگاری نشده ارسال کنید؛ گوگل به شما هشدار خواهد داد!
474 
اگر ایمیل رمزنگاری نشده ارسال کنید؛ گوگل به شما هشدار خواهد داد! گوگل بهطور مداوم برای بالا بردن سطح امنیت کاربران سرویسهای خود تلاش میکند. ماحصل این تلاشها باعث شده است پروتکلهایی نظیر HTTPS بهطور پیشفرض در سرویس جیمیل از کاربران در برابر حملات محافظت کنند. در کنار بهرهمندی از این سرویسهای ایمن، گوگل از دو سال پیش تاکنون تحقیقات مفصلی را با دانشگاه میشیگان و ایلینوی در زمینه ارسال ایمیلهای رمزنگاری انجام داده است. ماحصل تحقیقات انجام شده در ارتباط با بهبود امنیت ارسال و دریافت ایمیلها در قالب یک گزارش سیزده صفحهای توسط گوگل منتشر شده است. در حالی که جیمیل محور این تحقیقات بوده است، اما پژوهشهای انجام شده باعث خواهد شد، امنیت سرویسهای ایمیل بهطرز محسوسی افزایش یابد. STARTTLS راهکاری موفق در زمینه انتقال پیامهاSTARTTLS اولین بار در سال 2002 میلادی معرفی شد. STARTTLS یک توسعه ویژه برای پروتکل SMTP به شمار میرود و باعث میشود SMTP در قالب یک نشست TLS کپسوله شود. در یک جلسه عادی STARTTLS یک کلاینت ابتدا سعی میکند با سرور SMTP ارتباط برقرار کند. در ادامه کلاینت فرمانی را برای STARTTLS ارسال کرده و یک فرآیند دست دادن (handshake)و TLS استاندارد را مقداردهی اولیه میکند. اکنون کلاینت توانایی انتقال محتوا، ضمیمهها و هرگونه متادیتا وابسته را روی یک کانال رمزنگاری و محافظت شده خواهد داشت. این الگوی رفتاری را در قالب دستورات زیر مشاهده میکنید.
S: <waits for connection on TCP port 25>
STARTTLS سعی میکند از گرههایی که مابین سرورها قرار دارند محافظت به عمل آورده و سعی میکند از استراق سمع پیامها جلوگیری به عمل آورد. STARTTLS بهطور معمول هیچگونه فرآیند احراز هویت میل سرور مقصد را انجام نمیدهد، اما در عوض فرصت رمزنگاری پیامها را به وجود میآورد. از 26 آوریل 2015 میلادی، گوگل موفق شد STARTTLS را روی بیش از 80 درصد از پیامهای (خروجی) خارج شونده از این سرویس پیادهسازی کند، در حالی که نزدیک به 60 درصد ارتباطات (ورودی) وارد شوند به این سرویس بر اساس نشست STARTTLS رفتار میکنند. سرویسهای دیگری نظیر یاهو و آتلوک نیز از مکانیزم STARTTLS استفاده میکنند، البته نسبت به جیمیل در این زمینه ضعیفتر هستند.
C: <opens connection> S: 220 mail.example.org ESMTP service ready C: EHLO client.example.org S: 250-mail.example.org offers a warm hug of welcome S: 250 STARTTLS C: STARTTLS S: 220 Go ahead C: <starts TLS negotiation> C & S: <negotiate a TLS session> C & S: <check result of negotiation> C: EHLO client.example.org تقویت امنیت ایمیل در بخشهای مختلف صنعتمطالعات انجام شده نشان میدهند، سرویسهای ایمیل از دو سال پیش تاکنون ایمنتر از قبل شدهاند. بهطوری که سطح رمزنگاری ایمیلهای (ورودی) وارد شونده از 33 درصد سال 2013 میلادی به 61 درصد افزایش پیدا کرده است. همچنین سطح رمزنگاری ایمیلهای ارسال شونده (خروجی) از 60 درصد سال 2013 میلادی به 80 درصد افزایش پیدا کرده است. بر همین اساس گوگل در نظر دارد امنیت سرویس جیمیل را افزایش دهد. این حرکت در راستای تهدیداتی است که بهطور جدی امنیت کاربران جیمیل را به مخاطره میاندازد. گوگل در نظر دارد هشدارهایی را در خصوص عواقب ارسال ایمیلهای رمزنگاری نشده برای کاربران ارسال کند. بر همین اساس غول جستجوی دنیای وب هر زمان کاربران پیامهای رمزنگاری نشدهای را از منابع مختلف دریافت کنند هشدارهایی را برای آنها ارسال خواهد کرد. گوگل به تازگی در وبلاگ متعلق به این شرکت ماحصل تحقیقات و دستاوردهایی که در زمینه امنیت ایمیلها به دست آمده است را منتشر کرده است. این تحقیق ماحصل همکاری گروهی گوگل و دانشگاههای ایلینوی و میشیگان بوده است. تحقیقی که نزدیک به دو سال زمان برده است. دستاوردهای این پژوهش باعث خواهد شد سطح اعتماد جامعه به سرویسهای ایمیل افزایش پیدا کرده و رمزنگاری در سطح گستردهای در صنعت پیادهسازی شود. با این حال، گروه تحقیق کننده کشف کردهاند بعضی از حوزههای اینترنتی از رمزنگاریهای ضعیفی همراه با سرورهای DNS استفاده میکنند، بهطوری که به هکرها اجازه میدهد، از همان بدو شروع ارسال پیام از روترها و قبل از آنکه پیامها توسط دریافت کننده اصلی دریافت شود، توانایی رهگیری پیامهای کاربران را داشته باشند. گوگل در حال کار با محققان این دانشگاه است تا مانع از بروز چنین حملاتی شده و به کاربران اطمینان دهد ایمیلهای ارسالی آنها توسط هکرها خوانده نخواهد شد. در نتیجه در ماههای آینده باید در انتظار دریافت هشدارهایی در خصوص ایمیلهای رمزنگاری نشده باشیم. انتشار: 1394/09/22 - 19:15:52 |
