主板新闻网站最近发布了一个有趣的分析——关于美国军方不保护其士兵的电子邮件。这怎么可能呢? 在Edward Snowden案件打了政府的脸之后,美国决定建立一个工作小组来加密所有可能的文件并敦促所有政府网站的HTTPS执行。这是一个好主意,但在这个过程中仍然有一些遗漏,比如电子邮件的加密。 在这种特定的情况下,美军士兵忽略了他们电子邮件的加密,使他们暴露在可能拦截的威胁下。 美国公民自由联盟(ACLU)首席技术专家克里斯,他多年来一直试图推动加密并说一些令人好奇的事,”这是政府普遍的一个问题”,更糟糕的是,它只影响了部分应该更加注重安全性的政府。 显而易见,军方应当在安全方面给出的例子。但令人惊讶的是,在这方面他们不是单独的,因为无论是五角大厦,包括陆军,海军,国防安全服务,还是 DARPA,都使用了电子邮件加密。 在军队只有空军是使用加密的电子邮件,他们使用STARTTLS加密电子邮件。 STARTTLS主要是协议在旅行是从服务器的邮件到服务器的邮件的电子邮件的加密,一些大公司(例如谷歌)就用它作为加密标准。 即使你加密了你的电子邮件,也不意味着你就是安全的。因为如果您的电子邮件提供商不使用STARTTLS加密你的电子邮件,你只在自己的计算机到供应商之间加密自己的电子邮件,这意味着你在互联网上传播明文(在电子邮件提供商的服务器失控后。通过这种方式,可以避免从终端到终端的加密。 让我们通过一些实际的例子来想象一下,当你的电子邮件提供商不支持STARTTLS时会发生什么:
红线意味着,在您的电子邮件提供商的服务器失控后,在收件人的电子邮件服务的提供商进入前,电子邮件是开放读取的。
从电子邮件提供商所支持的STARTTLS电子邮件的路径中的每一个部分将确保加密可以看出:
我已经说过,谷歌正在使用STARTTLS。我还没有告诉他们,谷歌自2004年推出Gmail以后就一直在使用它。其他公司,如微软的Facebook,Twitter,雅虎,它们在2014年才实现STARTTLS的使用的。 所有这一切都能得到了文章的重点:私人公司正朝着正确的方向发展。但美国政府又如何?它们的情况有点不同。 国防信息系统局(DISA),五角大楼的分支机构的一位负责监督电子邮件和其他技术的发言人表示,他们企业的电子邮件,不支持STARTTLS。 “STARTTLS是Post Office Protocol 3和Internet邮件访问协议的扩展,它依靠系统访问用户名和密码,“以保持符合DoD PKI的政策。DEE不支持使用用户名和密码,来授予访问的权限,这并没有利用任何协议。” 对发言人的评论有: “一个不可接受的在技术上无能的回答。” “我想不出一个单一的技术原因,为什么他们不会使用它。” 现在,让我们重新考虑美军,为此,我会给出一个的情况:一个美国的军事单位进入阿富汗和士兵发送电子邮件。这意味着,如果控制该国的互联网基础设施,士兵的电子邮件可以被外国人的政府截获。 很多的机构不使用此安全层,如联邦调查局,他对美国国家情报总监办公室(DNI),中央情报局就是如此,但我们不清楚他们为什么不使用,以NSA为例,它们就使用。 重要的是,它的实施还非常便宜。所以,让我相信,他们之所以不使用它可能有其他原因,这些原因我们还不能理解,但有一件事是肯定的,STARTTLS不仅在私人领域,而且在公共(政府域相关)都将要成为标准。
|