| 16 ноября 2023 г. — 7:03 PT
Превратив электронную почту в зашифрованное сквозное сообщение, Proton Mail Key Transparency закроет еще одно потенциальное уязвимое место, говорит компания: гарантирует, что вы отправляете письма нужному человеку…
Предыстория
По умолчанию электронная почта представляет собой простой текстовый формат связи — и ваши письма проходят через несколько серверов, прежде чем достичь получателя. Это означает, что любой, кто имеет полный доступ к этим серверам, может прочитать вашу почту.
PGP — или Pretty Good Privacy — это протокол шифрования электронной почты, разработанный для обеспечения конфиденциальности. Письма, отправленные вам, шифруются с использованием вашего открытого ключа, к которому может получить доступ кто угодно, а затем могут быть расшифрованы только вашим закрытым ключом, который известен только вам.
PGP превращает электронную почту в зашифрованное сквозное сообщение, но его реализация не очень проста в использовании, и именно эту проблему стремился решить Proton Mail. Если вы и ваши контакты используете Proton Mail, то PGP применяется автоматически, и обеим сторонам не нужно ничего делать, кроме как отправлять и получать электронные письма.
То, что начиналось как нишевый продукт, выросло до 100 миллионов пользователей, и компания диверсифицировалась, занявшись менеджерами паролей, VPN, хранением данных и многим другим.
Proton Mail Key Transparency
В то время как Proton Mail гарантирует, что *содержимое* вашего письма защищено от посторонних глаз, компания заявляет, что существует еще одна потенциальная уязвимость. Злоумышленник может подделать электронное письмо от одного из ваших контактов, заставив вас ответить не тому человеку. Подделка заголовков электронной почты очень проста.
Чтобы решить эту проблему, как сообщает Fortune, компания готовится запустить Proton Mail Key Transparency. Это способ проверить, действительно ли адрес электронной почты принадлежит человеку, стоящему за ним.
Этот подход использует технологию блокчейн — хотя генеральный директор компании Энди Йен быстро отметил, что, хотя эта технология наиболее известна благодаря криптовалюте, компания никоим образом не связана с этой областью.
Проблема, по словам Йена, заключается в обеспечении того, чтобы открытый ключ действительно принадлежал предполагаемому получателю.
«Возможно, это АНБ создало поддельный открытый ключ, связанный с вами, и я как-то обманным путем заставил шифровать данные с этим открытым ключом», — сказал он Fortune. В сфере безопасности эта тактика известна как «атака посредника» (man-in-the-middle attack), подобно тому, как почтальон открывает выписку из вашего банка, чтобы получить ваш номер социального страхования, а затем запечатывает конверт.
Блокчейны — это неизменяемый реестр, что означает, что любые данные, изначально введенные в них, не могут быть изменены. Йен понял, что размещение открытых ключей пользователей в блокчейне создаст запись, гарантирующую, что эти ключи действительно принадлежат им, и эти данные будут перекрестно проверяться каждый раз, когда другие пользователи отправляют электронные письма.
По сути, все выкладывают свои открытые ключи на всеобщее обозрение в блокчейне, и любой может проверить имеющиеся у него открытые ключи по этой публичной записи. Поскольку база данных децентрализована, она не может быть скомпрометирована хакером.
Как и в случае с PGP, пользователям Proton Mail не нужно будет ничего делать, чтобы воспользоваться этой функцией. Каждый раз, когда вы отправляете кому-то электронное письмо, приложение Proton Mail будет проверять открытый ключ по базе данных блокчейна, чтобы убедиться в его правильности.
В настоящее время компания тестирует Proton Mail Key Transparency на собственных серверах в качестве концепции, в то время как переход на публичный блокчейн потребуется для обеспечения необходимой уверенности.
Визуализация блокчейна: Shubham Dhage/Unsplash