Un gruppo composto dai migliori email providers – Google, Yahoo, Comcast, Microsoft, LinkedIn, 1&1 Mail & Media Development – ha deciso di collaborare per la creazione di un nuovo standard di sicurezza per la posta elettronica, chiamato “STS SMTP“. Il progetto è stato presentato dall’Internet Engineering Task Force, durante la scorsa settimana.
L’era digitale è in continua evoluzione e consente di comunicare in milioni modi. Eppure, lo scambio giornaliero di e-mail risulta il mezzo di comunicazione più diffuso al mondo e preferito da miliardi di utenti. Ad essere oggetto di discussione è il “Simple Mail Transfer Protocol” (SMTP): il protocollo standard per la trasmissione di e-mail via internet, il quale iniziò a diffondersi nei primi anni ’80. Si tratta di un registro relativamente semplice, testuale, in cui vengono identificati uno o più destinatari del messaggio per consentire il corretto trasferimento dei dati. Ed è stata proprio questa caratteristica a renderlo sensibile agli attacchi degli hacker.
Nel corso del 2002, era stato lanciato STARTTLS: un’estensione dei protocolli di comunicazione legati al testo semplice, in grado di creare un collegamento cifrato al medesimo, invece di utilizzare una porta separata per la comunicazione crittografica. Tuttavia, questo protocollo non è stato ampiamente condiviso dagli email providers a causa della sua alta vulnerabilità e delle possibili, quanto frequenti, decodificazioni crittografiche.
Pertanto, gli ingegneri informatici dell’Internet Engineering Task Forcesono – un organismo internazionale libero, formato da tecnici, ricercatori e specialisti dell’evoluzione tecnica e tecnologica di internet – stanno spingendo verso l’introduzione di un innalzamento del livello di sicurezza, detto STS SMTP, che permette di certificare l’autenticità del protocollo crittografico e, solo in seguito, di inoltrare il messaggio.
“SMTP STS è un meccanismo che consente agli email providers di dichiarare la loro capacità di ricevere connessioni garantite TLS, di specificare i metodi per la convalida dei certificati e di richiedere l’invio di server SMTP al fine di accettare e/o rifiutare di recapitare i messaggi non sicuri“, suggerisce la proposta. I collaboratori dell’Internet Engineering Task Force avranno tempo fino al 19 settembre 2016 per risolvere le complesse dinamiche legate alla protezione della posta elettronica.
Intanto, il 27 febbraio 2016, Google ha sottolineato come la crittografia protetta copra il 77% delle richieste inviate dai computer di tutto il mondo ai suoi server. Sembrerebbe un dato rassicurante, dal momento che nel 2013 la percentuale si era fermata soltanto al 52%.