Mentre una casella di posta elettronica vuota è qualcosa per cui molte persone si sforzano, la maggior parte di noi non ha successo. E questo significa che probabilmente ne abbiamo immagazzinate centinaia, anche migliaia, di e-mail che contengono tutti i tipi di informazioni personali che preferiremmo mantenere private.

difese attuali, come Pretty Good Privacy (PGP) e Secure/Multipurpose Internet Mail Extensions (S/MIME), si affidano alla crittografia a chiave pubblica che utilizza coppie di chiavi pubbliche e private generate da algoritmi crittografici. Poiché questi sistemi sono troppo tecnici e difficili per l'utente medio, la maggior parte delle persone non li usa. Di conseguenza, molti account di posta elettronica sono stati violati, inclusi casi di alto profilo come l'attacco di phishing contro il principale consigliere per la campagna di Hillary Clinton, John Podesta, e l'e-mail hack del 2016 di uno dei migliori aiutanti di Vladimir Putin.

In risposta a questo tipo di attacchi diffusi, gli scienziati informatici della Columbia Engineering hanno creato Easy Email Encryption (E3), una domanda di sicurezza, posta crittografata facile da gestire anche per utenti non tecnici. Ora in modalità beta test, E3 crittografa automaticamente e in modo invisibile le e-mail non appena vengono ricevute su qualsiasi dispositivo attendibile, compresi gli smartphone, computer portatili, e compresse. Funziona su una varietà di piattaforme tra cui Android, Finestre, Linux, e Google Chrome, e con i servizi di posta più diffusi come Gmail, Yahoo, AOL, e altro ancora.

Il team:i professori Jason Nieh e Steve Bellovin e il loro dottorato di ricerca. studente John S. Koh, ha presentato oggi il suo studio a EuroSys '19 a Dresda, Germania, uno dei forum più importanti al mondo incentrato sulla ricerca e lo sviluppo di software per sistemi informatici.

"La privacy della posta elettronica diventa sempre più critica man mano che le nostre caselle di posta elettronica aumentano di dimensioni, " nota Koh, l'autore principale del documento. "Grazie a servizi di posta gratuiti e ampiamente diffusi come Gmail, gli utenti conservano sempre più email, fornendo così uno sportello unico per gli hacker che possono compromettere tutte le e-mail di un utente con un singolo attacco riuscito."

Dal 1999, quando il documento seminale "Perché Johnny Can't Encrypt" ha mostrato quanto fosse straordinariamente difficile per le persone inviare e-mail crittografate, i ricercatori hanno cercato di progettare sistemi di crittografia più facili da gestire per l'utente medio. Il problema è che sono rimasti concentrati sulle soluzioni di crittografia end-to-end, dove solo il mittente e il destinatario originali possono leggere i messaggi. Terzi, compresi i provider di telecomunicazioni e Internet, non possono origliare in quanto non possono accedere alle chiavi crittografiche per decrittografare la conversazione. Sebbene queste soluzioni funzionino sicuramente e offrano la massima sicurezza, PGP e S/MIME, le soluzioni di crittografia preferite dagli esperti, sono così complessi da essere poco pratici, quasi inutilizzabile, per un utente non tecnico.

"Il campo della sicurezza della posta elettronica richiede solo miglioramenti, " Koh note. "Per 20 anni, la comunità di ricerca era fissata sulla sicurezza end-to-end. Abbiamo preso una strada diversa, affermando che la crittografia end-to-end per la posta elettronica non è necessaria nel 21° secolo. Le connessioni Internet sono sempre più protette per impostazione predefinita utilizzando la crittografia. La nostra intuizione è che la posta elettronica deve essere protetta quando è archiviata nelle nostre caselle di posta, non quando viene inviato su Internet, perché gli hacker cercano principalmente di accedere al tuo account di posta elettronica. Applichiamo quindi un modello di "crittografia alla ricezione" che fornisce un'eccellente sicurezza nel mondo reale pur essendo molto più utilizzabile della crittografia end-to-end".

Negli ultimi tre anni, il team di Columbia Engineering ha perfezionato E3, provando molti approcci diversi prima di trovare un metodo che spuntasse tutte le caselle di cui avevano bisogno. Hanno testato l'app con un paio di dozzine di partecipanti allo studio, molti dei quali non erano particolarmente esperti di tecnologia. Tutti hanno convenuto che E3 è significativamente più facile da usare rispetto ai sistemi all'avanguardia per la posta elettronica sicura, al punto che E3 è facile da usare quasi quanto un normale client di posta elettronica.

Il nuovo approccio del team semplifica la crittografia della posta elettronica e ne migliora l'usabilità implementando la crittografia controllata dal destinatario. I messaggi appena ricevuti vengono scaricati in modo trasparente e crittografati con una chiave generata localmente e il messaggio originale viene quindi sostituito. Un grosso problema era come gestire più dispositivi, particolarmente importante in questi giorni poiché la maggior parte delle persone legge la posta elettronica su diversi dispositivi. Invece di spostare le chiavi private in giro, che è difficile da fare in modo sicuro e pone grandi esigenze all'utente, i ricercatori hanno utilizzato coppie di chiavi per dispositivo. Con questo approccio, solo le chiavi pubbliche devono essere sincronizzate tramite un semplice passaggio di verifica. Gli hacker che attaccano con successo un account e-mail o un server possono accedere solo alle e-mail crittografate. Tutte le e-mail crittografate prima di una violazione sono protette.

In E3, le chiavi pubbliche non vengono mai condivise con altre persone. Sono autogenerati e autofirmati, e non richiedono alcuna infrastruttura a chiave pubblica per la comprensione da parte dell'utente. Il lavoro precedente ha dimostrato che gli utenti trovano confuso ottenere e utilizzare correttamente le chiavi pubbliche. In contrasto, un utente E3 necessita solo di chiavi autofirmate, e tutti gli scambi di chiavi pubbliche tra i dispositivi dell'utente sono automatizzati.

I ricercatori fanno notare che non intendono che l'E3 sia un end-to-end, soluzione di massima sicurezza, ma piuttosto un importante miglioramento rispetto alla norma che è facile da implementare e utilizzare. Dice Koh, "Abbiamo scambiato la perfezione—end-to-end, crittografia controllata dal mittente, per un aumento significativo dell'usabilità e della capacità di proteggere ciò che ora sappiamo essere il vero problema per la maggior parte delle persone".

Il team sta perfezionando E3 e rendendo le sue implementazioni, le applicazioni effettive, ancora più facili da usare, provando nuovi approcci applicabili all'utente moderno. Hanno in programma di renderlo disponibile nel prossimo futuro per gli utenti Android come app disponibile gratuitamente nel Google Play Store. È in lavorazione anche una versione per iOS.