Μια ομάδα ανεξάρτητων ερευνητών ασφάλειας μαζί με μεγάλες tech εταιρείες στην Silicon Valley κατέθεσαν την περασμένη Παρασκευή, 18 Μαρτίου 2016, μια πρόταση για ένα νέο πρωτόκολλο ηλεκτρονικού ταχυδρομείου που ονομάζεται SMTP STS (Strict Transport Security).

Το SMTP δεν υπήρξε ποτέ ένα ασφαλές πρωτόκολλο, κυρίως επειδή κατά τη στιγμή που εφευρέθηκε, το 1982, η online επιτήρηση δεν ήταν και τόσο μεγάλο πρόβλημα μεταξύ των λίγων χιλιάδων υπολογιστών που ήταν συνδεμένοι στο Internet εκείνη την εποχή.

Καθώς το Web αναπτυσσόταν, και εμφανίστηκαν πρώτα οι hackers και μετά οι εγκληματίες του χώρου, οι εταιρείες τεχνολογίας έφεραν την επέκταση STARTTLS στο STMP, ως μέθοδος στη χρήση κρυπτογραφημένων καναλιών για την αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου.

Δυστυχώς, η STARTTLS δεν ήταν ποτέ τόσο ασφαλής όσο προβλεπόταν αρχικά, κυρίως λόγω μιας σειράς από ελαττώματα σχεδιασμού που επέτρεπε στους επιτιθέμενους να κοροϊδέψουν τους servers ώστε να πουν στο αποστολέα του email ότι δεν υποστηρίζουν κρυπτογράφηση και ότι θα πρέπει να στείλει τα δεδομένα σε απλό κείμενο.

Είναι αυτή ακριβώς η τρύπα που οι ερευνητές ασφαλείας προσπαθούν να διορθώσουν με αυτή τη νέα επέκταση του πρωτοκόλλου SMTP που ονομάζεται STS.

Θεωρητικά, αυτή η νέα επέκταση μοιάζει με την HSTS (HTTP Strict Transport Security) επέκταση του HTTPS. Ακριβώς όπως και η HSTS, η SMTP STS ελέγχει την εμπιστευτικότητα του μηνύματος και την αυθεντικότητα του διακομιστή και έτσι προχωρά στην διαδικασία εκκίνησης ενός κρυπτογραφημένου καναλιού επικοινωνίας ηλεκτρονικού ταχυδρομείου.

Η STMP STS θα επιτρέψει σε δύο διακομιστές που ασχολούνται με την ανταλλαγή e-mail να επικυρώσουν κρυπτογραφικά ο ένας τον άλλον, και να αποφασίσουν με ασφαλή τρόπο, αν θα πρέπει να χρησιμοποιούν κρυπτογράφηση, αν η κρυπτογράφηση υποστηρίζεται, και τι πρέπει να κάνουν αν δεν υποστηρίζεται.

Ανάμεσα στα μεγαλύτερα ονόματα εταιρειών που συμμετέχουν σε αυτή την προσπάθεια φιγουράρουν τα Microsoft, Google, Yahoo, LinkedIn, και Comcast. Επί του παρόντος, η πρόταση είναι μόνο ένα σχέδιο προδιαγραφής προς το IEEE (Internet Engineering Task Force), αλλά κρίνοντας από το πόσες πολλές και μεγάλες εταιρείες συμμετέχουν, οι πιθανότητες είναι ότι θα το δούμε ως μια επίσημη προδιαγραφή πολύ σύντομα.

Πέρυσι, η Oracle είχε υποβάλει μία παρόμοια πρόταση που ονομάζεται DEEP (Deployable Enhanced Email Privacy).