loading...

اگر ایمیل رمزنگاری نشده ارسال کنید؛ گوگل به شما هشدار خواهد داد!

آکاایران: اگر ایمیل رمزنگاری نشده ارسال کنید؛ گوگل به شما هشدار خواهد داد!

آکاایران: افزایش امنیت سرویس های ایمیل

اگر ایمیل رمزنگاری نشده ارسال کنید؛ گوگل به شما هشدار خواهد داد!

اگر ایمیل رمزنگاری نشده ارسال کنید؛ گوگل به شما هشدار خواهد داد!
گوگل به طور مداوم برای بالا بردن سطح امنیت کاربران سرویس های خود تلاش می کند. ماحصل این تلاش ها باعث شده است پروتکل هایی نظیر HTTPS به طور پیش فرض در سرویس جی میل از کاربران در برابر حملات محافظت کنند. در کنار بهره مندی از این سرویس های ایمن، گوگل از دو سال پیش تاکنون تحقیقات مفصلی را با دانشگاه میشیگان و ایلینوی در زمینه ارسال ایمیل های رمزنگاری انجام داده است. ماحصل تحقیقات انجام شده در ارتباط با بهبود امنیت ارسال و دریافت ایمیل ها در قالب یک گزارش سیزده صفحه ای توسط گوگل منتشر شده است. در حالی که جی میل محور این تحقیقات بوده است، اما پژوهش های انجام شده باعث خواهد شد، امنیت سرویس های ایمیل به طرز محسوسی افزایش یابد.

STARTTLS راه کاری موفق در زمینه انتقال پیام ها

STARTTLS اولین بار در سال 2002 میلادی معرفی شد. STARTTLS یک توسعه ویژه برای پروتکل SMTP به شمار می رود و باعث می شود SMTP در قالب یک نشست TLS  کپسوله شود. در یک جلسه عادی STARTTLS یک کلاینت ابتدا سعی می کند با سرور SMTP ارتباط برقرار کند. در ادامه کلاینت فرمانی را برای STARTTLS ارسال کرده و یک فرآیند دست دادن (handshake)و TLS  استاندارد را مقداردهی اولیه می کند. اکنون کلاینت توانایی انتقال محتوا، ضمیمه ها و هرگونه متادیتا وابسته را روی یک کانال رمزنگاری و  محافظت شده خواهد داشت. این الگوی رفتاری را در قالب دستورات زیر مشاهده می کنید.

S: <waits for connection on TCP port 25>

  C: <opens connection>

  S: 220 mail.example.org ESMTP service ready

  C: EHLO client.example.org

  S: 250-mail.example.org offers a warm hug of welcome

  S: 250 STARTTLS

  C: STARTTLS

  S: 220 Go ahead

  C: <starts TLS negotiation>

  C & S: <negotiate a TLS session>

  C & S: <check result of negotiation>

  C: EHLO client.example.org

STARTTLS سعی می کند از گره هایی که مابین سرورها قرار دارند محافظت به عمل آورده و سعی می کند از استراق سمع پیام ها جلوگیری به عمل آورد. STARTTLS به طور معمول هیچ گونه فرآیند احراز هویت میل سرور مقصد را انجام نمی دهد، اما در عوض فرصت رمزنگاری پیام ها را به وجود می آورد. از 26 آوریل 2015 میلادی، گوگل موفق شد STARTTLS را روی بیش از 80 درصد از پیام های (خروجی) خارج شونده از این سرویس پیاده سازی کند، در حالی که تقریبا 60 درصد ارتباطات (ورودی) وارد شوند به این سرویس بر اساس نشست STARTTLS رفتار می کنند. سرویس های دیگری نظیر یاهو و آتلوک نیز از مکانیزم STARTTLS استفاده می کنند، البته نسبت به جی میل در این زمینه ضعیف تر هستند. همان گونه که در جدول زیر مشاهده می کنید، بسیاری از ارائه دهندگان خدمات ایمیل از STARTTLS در ارتباطات وارد شونده و خارج شونده به سرویس های خود استفاده می کنند.

 

Outgoing

Cipher

Outgoing

Key Exchange

Outgoing

TLS Version

Certificate

Matches

Incoming

Cipher

Incoming

Key Exchange

Incoming

TLS Version

فراهم کننده

AES-128-GCM

ECDHE

1.2

server

AES-128-GCM

ECDHE

1.2

Gmail

RC4-128

ECDHE

1.0

server

AES-128-GCM

ECDHE

1.2

Yahoo

AES-256

ECDHE

1.2

server

AES-256-CBC

ECDHE

1.2

Outlook

AES-128-GCM

DHE

1.2

server

AES-128-GCM

ECDHE

1.2

iCloud

AES-256-GCM

DHE

1.2

server

AES-256-CBC

ECHDE

1.2

Mail.com

RC4-128

RSA

1.0

server

RC4-128

RSA

1.0

Zoho

AES-256-GCM

ECDHE

1.2

server

RC4-128

RSA

1.2

Mail.ru

AES-256-CBC

DHE

1.0

server

RC4-128

RSA

1.0

AOL

AES-256-CBC

DHE

1.0

server

RC4-128

RSA

1.1

QQ

ES-128-GCM

DHE

1.2

server

AES-128-GCM

ECDHE

1.2

Me.com

AES-256-CBC

ECDHE

1.2

server

AES-128-GCM

RSA

1.2

Yandex

تقویت امنیت ایمیل در بخش های مختلف صنعت

مطالعات انجام شده نشان می دهند، سرویس های ایمیل از دو سال پیش تاکنون ایمن تر از قبل شده اند. به طوری که سطح رمزنگاری ایمیل های (ورودی) وارد شونده از 33 درصد سال 2013 میلادی به 61 درصد افزایش پیدا کرده است.

اگر ایمیل رمزنگاری نشده ارسال کنید؛ گوگل به شما هشدار خواهد داد!

همچنین سطح رمزنگاری ایمیل های ارسال شونده (خروجی) از 60 درصد سال 2013 میلادی به 80 درصد افزایش پیدا کرده است. بر همین اساس گوگل در نظر دارد امنیت سرویس جی میل را افزایش دهد. این حرکت در راستای تهدیداتی است که به طور جدی امنیت کاربران جی میل را به مخاطره می اندازد. گوگل در نظر دارد هشدارهایی را در خصوص عواقب ارسال ایمیل های رمزنگاری نشده برای کاربران ارسال کند. بر همین اساس غول جستجوی دنیای وب هر زمان کاربران پیام های رمزنگاری نشده ای را از منابع مختلف دریافت کنند هشدارهایی را برای آن ها ارسال خواهد کرد. گوگل به تازگی در وبلاگ متعلق به این شرکت ماحصل تحقیقات و دستاوردهایی که در زمینه امنیت ایمیل ها به دست آمده است را منتشر کرده است. این تحقیق ماحصل همکاری گروهی گوگل و دانشگاه های ایلینوی و میشیگان بوده است. تحقیقی که تقریبا دو سال زمان برده است. دستاوردهای این پژوهش باعث خواهد شد سطح اعتماد جامعه به سرویس های ایمیل افزایش پیدا کرده و رمزنگاری در سطح گسترده ای در صنعت پیاده سازی شود. با این حال، گروه تحقیق کننده کشف کرده اند بعضی از حوزه های اینترنتی از رمزنگاری های ضعیفی همراه با سرورهای DNS استفاده می کنند، به طوری که به هکرها اجازه می دهد، از همان بدو شروع ارسال پیام از روترها و قبل از آن که پیام ها توسط دریافت کننده اصلی دریافت شود، توانایی رهگیری پیام های کاربران را دارا باشند. گوگل در حال کار با محققان این دانشگاه است تا مانع از بروز چنین حملاتی شده و به کاربران اطمینان دهد ایمیل های ارسالی آن ها توسط هکرها خوانده نخواهد شد. در نتیجه در ماه های آینده باید در انتظار دریافت هشدارهایی در خصوص ایمیل های رمزنگاری نشده باشیم. 

.

منبع : shabakeh-mag.com

تبلیغات