Zo willen Google en Microsoft je e-mails beter beveiligen
Het is de hoogste tijd om e-mail beter te beveiligen, vinden Google en Microsoft. Ze willen hiervoor nieuwe technologie invoeren.
Het versturen van een e-mail gebeurt lang niet altijd op een veilige manier. Berichten worden in veel gevallen niet versleuteld en het is voor de verzender niet altijd duidelijk of hij een e-mail naar de juiste persoon stuurt. E-mail kan hierdoor vrij gemakkelijk door een kwaadwillende worden onderschept en ingezien.
Om e-mails te versturen gebruiken e-maildiensten de technologie Simple Mail Transfer Protocol (SMTP), dat in de jaren tachtig is ontwikkeld. In 2002 werd deze technologie verbeterd met STARTTLS, dat de inhoud van e-mails tijdens het verzenden versleutelt. Maar STARTTLS wordt nog niet door iedereen gebruikt en beveiligt je niet tegen het onderscheppen van e-mail door een kwaadwillende. Het onderscheppen gebeurt via een zogeheten man-in-the-middle-aanval, waarbij de kwaadwillende zich voordoet als de ontvanger van een e-mail.
Nieuwe technologie
Google en Microsoft willen een nieuwe technologie introduceren, genaamd Simple Mail Transfer Protocol Strict Transport Security (SMTP STS), waarmee berichten tijdens het verzenden worden versleuteld en de identiteit van de ontvanger wordt geverifieerd.
SMTP STS forceert tijdens het verzenden van een e-mail een versleutelde verbinding, waardoor de inhoud van een e-mail niet voor bijvoorbeeld een internetprovider is in te zien. Daarnaast checkt de technologie de identiteit van de ontvanger. Dit gebeurt bijvoorbeeld door te controleren of je daadwerkelijk communiceert met de servers van Google als je een e-mail naar een Gmail-adres verstuurt - en dat je niet communiceert met de malafide server van een internetcrimineel.
Het voorstel voor SMTP STS te promoveren tot standaard is ingediend bij de Amerikaanse Internet Engineering Task Force, de organisatie die zich bezighoudt met internetstandaarden. Binnen zes maanden reageert de organisatie op het voorstel.
PGP
Bedrijven als Google en Microsoft kunnen hun e-mail nog beter beveiligen, bijvoorbeeld met Pretty Good Privacy (PGP). Met deze technologie wordt de inhoud van een e-mail op een specifieke manier versleuteld waardoor alleen de ontvanger het bericht in kan zien, en bijvoorbeeld niet de e-mailprovider.
Deze krachtige vorm van encryptie voeren bedrijven als Google niet in omdat zij dan niet meer jouw e-mails kunnen scannen en op basis daarvan je gepersonaliseerde advertenties kunnen voorschotelen.