SMTP STS: Possibili evoluzioni sulla sicurezza per il sistema email del futuro

Sono passati circa quarant’anni dall’invenzione della posta elettronica. Il suo inventore, Ray Tomlinson, ci ha lasciati nelle scorse settimane. Con il passare degli anni e con la diffusione dell’efficientissimo mezzo di comunicazione ci si è spesso interrogati in temi di sicurezza. Il protocollo più utilizzato, l’SMTP, prevede per la maggior parte dei casi il trasferimento di messaggi senza utilizzo di algoritmi di crittografia. Un tentativo di svolta è stato fatto anni fa attraverso l’introduzione di protocolli TLS/SSL all’interno del sistema di comunicazione. Questo ha dato vita ad un protocollo chiamato SMTP STARTTLS, il quale viene attualmente utilizzato dai detentori delle principali risorse del web (Facebook, Dropbox, Google, Microsoft, etc.). Tuttavia questo protocollo ha diverse falle: è esposto ad attacchi man-in-the-middle che non garantiscono la crittografia del messaggio. Ultimamente si sono interessati a questo tema i più grandi esponenti dell’IT mondiale: Google, Yahoo, Comcast, Microsoft, Linkedin e 1&1 Mail & Media. Il gruppo ha formalizzato ed inviato una proposta all’Internet Engineering Task Force, per la realizzazione di un progetto che preveda l’introduzione di controlli di sicurezza più avanzati. Il protocollo prende il nome di SMTP STS (Strict Transport Security). Il suo utilizzo prevede che mittente e destinatario condividano questa tecnologia e che il certificato di entrambe le parti sia aggiornato. In caso contrario il messaggio non verrebbe inviato e sarebbe inviata al mittente una relativa notifica. La proposta, nella sua interezza, può essere consultata qui. Vi sono numerosi dettagli tecnici per una sua reale implementazione. Non possiamo sapere se questo progetto vedrà la luce ma il tema della sicurezza è caldo e le figure che spingono per la realizzazione di questo progetto sono molto rilevanti. Possiamo dunque ben sperare in un futuro (si spera prossimo) in cui i nostri messaggi di posta elettronica potranno essere inviati e recapitati nel rispetto della massima riservatezza.