行业资讯

网络信息安全资讯,SSL证书资讯,SSL行业资讯

您现在所在的位置首页 > 行业资讯 > 美国要求政府网站HTTPS加密 而其军方邮件内容却在裸奔

美国要求政府网站HTTPS加密 而其军方邮件内容却在裸奔

在爱德华·斯诺登(Edward Snowden)案件(棱镜门事件)打了美国政府的脸之后,美国决定建立一个工作小组来加密所有可能的文件并敦促所有政府网站的HTTPS加密执行。这是一个好主意,但在这个过程中仍然有一些遗漏,比如军方电子邮件的加密。在这种特定的情况下,美军士兵忽略了他们电子邮件的加密,使他们暴露在可能拦截的威胁下。

美国公民自由联盟(ACLU)首席技术专家克里斯,他多年来一直试图推动加密并说一些令人好奇的事,”这是政府普遍的一个问题”,更糟糕的是,它只影响了部分应该更加注重安全性的政府。显而易见,军方应当在安全方面给出的例子。但令人惊讶的是,在这方面他们不是单独的,因为无论是五角大厦,包括陆军,海军,国防安全服务,还是DARPA,都使用了电子邮件加密。在军队只有空军是使用加密的电子邮件,他们使用STARTTLS加密电子邮件。

STARTTLS主要是协议在旅行是从服务器的邮件到服务器的邮件的电子邮件的加密,一些大公司就用它作为加密标准。即使你加密了你的电子邮件,也不意味着你就是安全的。因为如果您的电子邮件提供商不使用STARTTLS加密你的电子邮件,你只在自己的计算机到供应商之间加密自己的电子邮件,这意味着你在互联网上传播明文(在电子邮件提供商的服务器失控后。通过这种方式,可以避免从终端到终端的加密。

让我们通过一些实际的例子来想象一下,当你的电子邮件提供商不支持STARTTLS时会发生什么:

yj1

红线意味着,在您的电子邮件提供商的服务器失控后,在收件人的电子邮件服务的提供商进入前,电子邮件是开放读取的。

从电子邮件提供商所支持的STARTTLS电子邮件的路径中的每一个部分将确保加密可以看出:

yj2

美国政府为何没有使用STARTTLS加密邮件?它们的情况有点不同。

国防信息系统局(DISA),五角大楼的分支机构的一位负责监督电子邮件和其他技术的发言人表示,他们企业的电子邮件,不支持STARTTLS。“STARTTLS是Post Office Protocol 3和Internet邮件访问协议的扩展,它依靠系统访问用户名和密码,“以保持符合DoD PKI的政策。DEE不支持使用用户名和密码,来授予访问的权限,这并没有利用任何协议。”

对此有发言人评论:

“一个不可接受的在技术上无能的回答。”

“我想不出一个单一的技术原因,为什么他们不会使用它。”

现在,让我们重新考虑美军,为此,我会给出一个的情况:一个美国的军事单位进入阿富汗和士兵发送电子邮件。这意味着,如果控制该国的互联网基础设施,士兵的电子邮件可以被外国人的政府截获。很多的机构不使用此安全层,如联邦调查局,他对美国国家情报总监办公室(DNI),中央情报局就是如此,但我们不清楚他们为什么不使用,以NSA为例,它们就使用。

重要的是,它的实施还非常方便。所以,让人相信他们之所以不使用它可能有其他原因,这些原因我们还不能理解,但有一件事是肯定的,STARTTLS不仅在私人领域,而且在公共(政府域相关)都将要成为标准。

相关阅读:

苹果电子邮件漏洞 或致iCloud账号密码泄露http://freessl.wosign.com/898.html

工业和信息化部邮件系统部署沃通EV SSL证书http://freessl.wosign.com/miit-evssl.html

棱镜门事件再度发酵 数据加密成关注焦点http://freessl.wosign.com/shujujiami.html

沃通CA免费电子邮件加密证书申请地址http://www.wosign.com/Products/Free_Personal_email_Certificate.htm