Google一直擅长分享其丰富的信息,包括将其全部捐赠给开源社区。这一次轮到了E2EMail,一个实验性质的端到端加密系统。E2EMail由Google开发,内置JavaScript内部开发的JavaScript加密库。它提供了一种通过Chrome扩展程序将OpenPGP集成到Gmail中的方法。消息的明文单独保留在客户端上。
E2EMail在谷歌当前一个中央密钥服务器上进行测试,根据最近的密钥透明度公告显示,OpenPGP方式的核心密钥坚实,可扩展,因此这种解决方案,取代了传统上与PGP一起使用的有问题的网络信任模型。
E2EMail代码目前已经上传到GitHub,每个人都可以访问查看代码。 Continue reading »
Edward Snowden公开的NSA机密文件显示,即使用户强加密了邮件内容,邮件的重要元数据仍旧是未加密的明文。元数据含有重要信息:发信者和收信者的地址、邮件主题行、邮件头,邮件转发服务器信息。
Lavabit的创始人Ladar Levison和PGP 作者 Phil Zimmermann 因此在2013年发起了Dark Mail项目,试图开发新协议解决这些问题。
Dark Mail项目去年底发布了替代现有邮件系统的Dark Internet Mail Environment (DIME)规格(PDF)。DIME系统包括了新的电子邮件消息格式和电子邮件交换和身份认证协议,它同时还努力保持了与现有系统的向后兼容性。DIME描绘了一种消息格式,其信息的每一个部分都分开加密,不同部分使用不同的密钥。因此邮件传输代理只能解密传输信息所需要的部分,而邮件发送代理能在不知道发信者和信息内容的情况下将邮件发送到正确用户的收件箱。
它是如何做到的?
一个DIME消息对象包含了三个部分:Next-Hop(目前邮件传输方法使用的未加密路由信息)、Envelope(分开加密的发信方和收信方信息)和Content(分开加密的消息头和消息体)。
整个邮件传输过程是:
1.发信方邮件服务器验证发信者身份,然后发送加密信息;
2.发信方邮件服务器只能看到收信方邮件服务器的域名,不知道收信者的地址,它验证了收信方邮件服务器的身份后,将邮件转发给对方;
3.收信方邮件服务器只能看到发信方邮件服务器的域名,它不知道发信者的地址,它验证发信方邮件服务器的身份后接收邮件;
4.收信方邮件服务器解密收信者的用户名后将邮件发送到正确的收件箱;
5.收信者与收信方邮件服务器验证身份后下载邮件,解密和阅读内容。
Phillip Zimmermann 和Ladar Levison 等人宣布了替代SMTP协议的Darkmail Internet Mail Environment。目前电子邮件服务使用的SMTP协议被认为不安全,会泄露重要的发件人收件人元数据。一个安全的电子邮件协议必须限制元数据信息泄露,而邮件处理代理仅能访问它们需要看到的信息。Dark Internet Mail Environment(DIME) 通过有多层密钥管理和多层信息加密的核心模式实现这一目标。DIME的规格已经公布,代码发布在GitHub上。
在今年六月份谷歌推出了一款名为“End-to-End”的Alpha版Chrome扩展,通过对电子邮件进行端到端的加密方式来对抗NSA的监控。但是并非所有人都只使用Chrome,那些偏爱使用Firefox、Safari、Opera等浏览器的用户如何也能享受到这项加密服务哪?今天谷歌正式宣布该项目开源,并迁移到GitHub上,尽管依然还是为Chrome所设计的,但是任何感兴趣的开发者都能使用这些代码,在其他浏览器或者软件中进行使用。
换言之例如Mozilla和苹果等公司今天就能使用这些代码装备到自己的浏览器中。谷歌安全和隐私产品经理Stephan Somogyi表示:“在迁移至GitHub上唯一没有改变的事情现在还远远没有到End-to-End登陆Chrome的Web Store的时候,就目前而言我们并不认为这项功能已经足够实用。事实上,通过这些源代码就会到我们的核心服务器上查看相关的参考文件,在加密相关的产品中密钥的传输和管理无疑是最难的环节,除非我们找到完美的解决方案否则我们不会发布End-to-End软件。”
电子邮件加密将是大势所趋。雅虎周四表示,将加入竞争对手谷歌的行列明年推出基于PGP加密的安全邮件系统,有了这个安全邮件系统,黑客和政府官员基本上无从得知用户发送的信息内容。即便是邮件服务提供商自身也无法破译用户发送的信息内容。
如果这两家公司能顺利完成这一任务,则标志着他们在采用先进隐私技术保护这一广为使用的用户服务方面迈出了第一步。
雅虎和谷歌表示,加密工具将设置为可选功能,用户可以自己选择启动或者关闭。两家公司员工均表示,双方的工程师频繁互相谈起这个项目。这一加密工具将依赖于PGP。PGP对普通用户来说使用起来困难而繁琐,但雅虎和谷歌正努力使PGP对于普通用户来说更加简便可用。
Yahoo Mail to support end-to-end PGP encryption by 2015
Ian Paul @ianpaul Aug 8, 2014 6:59 AM
Yahoo is following in the footsteps of Google and plans to implement end-to-end encryption into Yahoo Mail by 2015. Like Google, Yahoo plans to use the OpenPGP encryption standard to encrypt messages. OpenPGP, which is the gold standard for email encryption, uses a public-private keypair scheme to protect user messages.
To get the encryption done, Yahoo will use a modified version of Google’s alpha stage End-to-End Chrome extension. But Yahoo’s version will be designed to work with the Yahoo Mail interface instead of Gmail.
Yahoo also plans on making encryption a native part of the Yahoo Mail mobile apps, according to a tweet by Alex Stamos, Yahoo’s chief information security officer. Stamos announced Yahoo’s email encryption plans during Black Hat USA, a security conference that ended on Thursday.
As part of the encryption effort, Yahoo will create a new privacy engineering team to work on the project. The team’s first hire was Yan Zhu, a staff technologist for the Electronic Frontier Foundation who worked on projects such as the HTTPS Everywhere and Privacy Badger add-ons. Zhu was also the person who recently discovered a security flaw in WordPress login cookies.
Easing encryption
The news that yet another major webmail service wants to build encryption tools into its product is encouraging. But it’s not clear how many people will actually want to use the new option.
While encryption and privacy are top of mind for many as the revelations from Edward Snowden and other whistleblowers continue to roll out. The problem is both Google and Yahoo must make encryption dead simple to use.
On top of that is the issue of key management. How will Yahoo help users with managing their keys while at the same time preventing the company from having access to them? Continue reading »
北京时间6月4日早间消息,谷歌周二发布了一个新的Chrome浏览器扩展的源代码,可以方便用户对电子邮件进行加密,使得美国国家安全局(以下简称“NSA”)等情报机构的监听难度大幅增加。这款名为End-to-End的加密工具使用OpenPGP开源加密程序编写,可以在用户的电子邮件离开浏览器后对其加密,直到被收件人解密。
该工具还可以方便用户读取发送到其电子邮件服务器中的加密信息。不过,发送和接受邮件的双方都需要使用End-to-End或其他加密工具,才能令该系统真正发挥作用。
此举将对NSA的监听行为构成重大打击。尽管过去20年已经出现过众多加密技术,但PGP和GnuPG等端对端邮件加密技术仍然需要大量人员的介入,而且需要很强的技术能力。NSA也经常利用人为错误来破解加密信息。
“政府不能越权,这一点很重要。”谷歌首席安全官埃里克·格罗斯(Eric Grosse)说,“我们不希望任何政府破坏互联网安全。”
谷歌的新工具可以加大NSA及其他情报机构的工作难度。虽然端对端加密无法彻底消除信息被黑客或情报机构拦截的风险,但却会迫使他们直接入侵用户电脑读取信息,而无法在发送过程中获取。 Continue reading »
1. IANA Considerations
As directed by SMTP [2], IANA maintains a registry [7] of “WITH protocol types” for use in the “with” clause of the Received header in an Internet message. This registry presently includes SMTP [6], and ESMTP [2]. This specification updates the registry as follows:
o The new keyword “ESMTPA” indicates the use of ESMTP when the SMTP AUTH [3] extension is also used and authentication is successfully achieved.
o The new keyword “ESMTPS” indicates the use of ESMTP when STARTTLS [1] is also successfully negotiated to provide a strong transport encryption layer.
o The new keyword “ESMTPSA” indicates the use of ESMTP when both STARTTLS and SMTP AUTH are successfully negotiated (the combination of ESMTPS and ESMTPA).
此所整理的寄退信錯誤訊息,對使用其它廠商之郵件服務可能不會完全相同,故僅供參考,以下所提及的郵件網址均為舉例說明用。因各家郵件主機採用的系統均不相同,故退信的原因完全相同時,文字描述也不會一樣,所以我們儘可能列出常用的幾種退位文字訊息,供大家查詢與參照。 Continue reading »