以防电子邮件被监控 EFF推动StarTLS Everywhere

电子前线基金会（Electronic Frontier Foundation，EFF）周一（6/25）推出StarTLS Everywhere倡议，鼓励电子邮件服务器管理员部署「有效的」StarTLS，以防范政府或其它机构对电子邮件的监控与拦截。

迄今电子邮件的传输主要仰赖「简单邮件传输协议」（Simple Mail Transfer Protocol，SMTP），在70年代就制定的SMTP尚无加密的概念，却是目前电子邮件服务器之间主要的通讯协议，而StarTLS则能与SMTP相辅相成，当邮件服务器想要加密通讯时可传送StarTLS命令予另一邮件服务器，若对方也支持StarTLS就能展开加密传输。

有别于端对端（end-to-end）加密，StarTLS属于节点对节点（hop-to-hop）之间的加密，只能加密邮件服务器之间的通讯，避免遭到外人监控传输内容，但服务器端仍能存取邮件内容，例如当一个Gmail用户传送邮件给EFF员工时，就算是启用了StarTLS，不管是Gmail或EFF的邮件服务器都仍然能阅读邮件内容。

事实上，根据Google的统计，支持StarTLS的邮件服务器已高达89%。然而，EFF却发现当中绝大多数的邮件服务器都缺乏可验证的凭证，又替黑客开启了一扇窗，只要能冒充邮件服务器就能存取邮件内容，此外，就算是双方都有完整的StarTLS配置与凭证，在服务器传送StarTLS命令时也是未加密的，黑客可拦截此一讯息，让双方误以为对方并未支持StarTLS而未执行加密传输，形成所谓的「降级攻击」（Downgrade Attack）。

因此，在EFF的StarTLS Everywhere倡议中，EFF提供了可作为邮件服务器系统管理员的软件，以让邮件服务器能自动向Let’s Encrypt取得有效的凭证，并协助服务器的配置，以在使用StarTLS时能向其它的邮件服务器展示凭证。为了防范降级攻击，StarTLS Everywhere亦包含了支持StarTLS的邮件服务器名单。

StarTLS Everywhere是从邮件服务器着手来提供基本的邮件传输安全，主要是用来对抗外来的入侵者，目前仍处于开发测试阶段，EFF亦鼓励邮件服务器管理员把自家支持StarTLS的网域加入名单中，或是提出StarTLS Everywhere的功能需求。 文章出自：惠仲科学工业站 http://hertzhon.com.tw/