Ny app kan sikre alle dine gemte e -mails

Mens en tom e -mail -indbakke er noget, mange mennesker stræber efter, de fleste af os lykkes ikke. Og det betyder, at vi sandsynligvis har gemt hundredvis, endda tusinder, e -mails, der indeholder alle former for personlige oplysninger, foretrækker vi at holde private.

Nuværende forsvar, såsom Pretty Good Privacy (PGP) og Secure/Multipurpose Internet Mail Extensions (S/MIME), stole på offentlig nøglekryptografi, der bruger par offentlige og private nøgler genereret af kryptografiske algoritmer. Fordi disse systemer er for tekniske og vanskelige for den gennemsnitlige bruger, de fleste mennesker bruger dem ikke. Som resultat, mange e -mail -konti er blevet hacket, herunder så højt profilerede sager som phishing -angrebet på Hillary Clintons øverste kampagneadviser John Podesta og e -mail -hacket fra 2016 af en af ​​Vladimir Putins største hjælpere.

Som reaktion på denne slags udbredte angreb, computere fra Columbia Engineering har bygget Easy Email Encryption (E3), en ansøgning om sikker, krypteret e-mail, der er let at administrere, selv for ikke-tekniske brugere. Nu i betatesttilstand, E3 krypterer automatisk og usynligt e -mail, så snart den modtages på en hvilken som helst pålidelig enhed, herunder smartphones, bærbare computere, og tablets. Det fungerer på en række forskellige platforme, herunder Android, Windows, Linux, og Google Chrome, og med populære mailtjenester som f.eks. Gmail, Yahoo, AOL, og mere.

Teamet - professorerne Jason Nieh og Steve Bellovin og deres ph.d. studerende John S. Koh - præsenterede sin undersøgelse i dag på EuroSys '19 i Dresden, Tyskland, et af verdens førende fora med fokus på forskning og udvikling af computersystemsoftware.

"Beskyttelse af e -mails bliver stadig mere kritisk, efterhånden som vores e -mail -indbakker øges i størrelse, "bemærker Koh, papirets hovedforfatter. "Takket være gratis og meget populære mailtjenester som Gmail, brugere gemmer flere og flere e -mails, og dermed en one-stop-shop for hackere, der kan kompromittere alle en brugers e-mails med et enkelt vellykket angreb. "

Lige siden 1999 har da det skelsættende "Why Johnny Can't Encrypt" -papir viste, hvor ekstraordinært svært det var for folk at sende krypteret e -mail, forskere har forsøgt at designe krypteringssystemer, der er lettere for den almindelige bruger at administrere. Problemet er, at de har holdt fokus på ende-til-ende krypteringsløsninger, hvor kun den originale afsender og modtager kan læse meddelelserne. Tredje partier, herunder telekommunikation og internetudbydere kan ikke aflytte, da de ikke kan få adgang til de kryptografiske nøgler for at dekryptere samtalen. Selvom disse løsninger helt sikkert virker og giver størst sikkerhed, PGP og S/MIME, de krypteringsløsninger, der er mest foretrukne af eksperter, er så komplekse, at de er upraktiske, næsten ubrugelig, for en ikke-teknisk bruger.

"E -mail -sikkerhedsområdet tigger bare om forbedring, "Koh noter." I 20 år har forskersamfundet var fikseret på ende-til-ende-sikkerhed. Vi tog en anden tak, med påstand om, at ende-til-ende-kryptering til e-mail ikke er nødvendig i det 21. århundrede. Internetforbindelser beskyttes i stigende grad som standard ved hjælp af kryptering. Vores indsigt er, at e -mail skal beskyttes, når den gemmes i vores indbakker, ikke når det bliver sendt over internettet, fordi hackere hovedsageligt bare prøver at logge ind på din e -mail -konto. Vi anvender således en 'krypter ved modtagelse' model, der giver fremragende sikkerhed i den virkelige verden, samtidig med at den er langt mere anvendelig end end-to-end kryptering. "

I løbet af de sidste tre år har Columbia Engineering -teamet raffinerede E3, prøvede mange forskellige tilgange, før de fandt en metode, der markerede alle de kasser, de havde brug for. De har testet appen med et par dusin undersøgelsesdeltagere, hvoraf mange ikke var specielt teknologikyndige. Alle var enige om, at E3 er betydeligt lettere at bruge end de state-of-the-art systemer til sikker e-mail, til det punkt, hvor E3 er næsten lige så let at bruge som en almindelig e -mail -klient.

Teamets nye tilgang forenkler e-mail-kryptering og forbedrer dets brugervenlighed ved at implementere modtagerstyret kryptering. Nyligt modtagne meddelelser downloades og krypteres gennemsigtigt til en lokalt genereret nøgle, og den originale meddelelse udskiftes derefter. Et stort problem var, hvordan man håndterer flere enheder, især vigtigt i disse dage, da de fleste læser e -mail på flere enheder. I stedet for at flytte private nøgler rundt, hvilket er svært at gøre sikkert og stiller store krav til brugeren, forskerne brugte nøglepar pr. enhed. Med denne tilgang, kun offentlige nøgler skal synkroniseres via et enkelt verifikationstrin. Hackere, der med succes angriber en e -mail -konto eller server, kan kun få adgang til krypterede e -mails. Alle e -mails, der er krypteret før et brud, er beskyttet.

I E3, offentlige nøgler deles aldrig med andre mennesker. De er selvgenererede og selvsignerede, og kræver ingen offentlig nøgleinfrastruktur for brugeren at forstå. Tidligere arbejde har vist, at brugerne synes, det er forvirrende at korrekt hente og bruge offentlige nøgler. I modsætning, en E3-bruger behøver kun selvsignerede nøgler, og enhver udveksling af offentlige nøgler mellem brugerens enheder er automatiseret.

Forskerne bemærker, at de ikke har til hensigt at E3 skal være en ende-til-ende, maksimal sikkerhedsløsning, men derimod en større forbedring i forhold til normen, der er let at installere og bruge. Siger Koh, "Vi forhandlede perfektion-ende-til-ende, afsenderstyret kryptering-for en betydelig stigning i brugervenligheden og evnen til at beskytte, hvad vi nu ved, er det virkelige problem for de fleste mennesker. "

Teamet forfiner E3 og gør implementeringerne - de faktiske applikationer - endnu lettere at bruge ved at prøve nye fremgangsmåder, der er gældende for den moderne bruger. De planlægger at gøre den tilgængelig i den nærmeste fremtid for Android -brugere som en app, der er frit tilgængelig i Google Play Butik. En iOS -version er også på vej.