Hoewel een lege e-mailinbox iets is waar veel mensen naar streven, de meesten van ons zijn niet succesvol. En dat betekent dat we waarschijnlijk honderden, zelfs duizenden, van e-mails die allerlei persoonlijke informatie bevatten die we liever privé houden.

huidige verdedigingen, zoals Pretty Good Privacy (PGP) en Secure/Multipurpose Internet Mail Extensions (S/MIME), vertrouwen op cryptografie met openbare sleutels die paren van openbare en privésleutels gebruikt die zijn gegenereerd door cryptografische algoritmen. Omdat deze systemen te technisch en te moeilijk zijn voor de gemiddelde gebruiker, de meeste mensen gebruiken ze niet. Als resultaat, veel e-mailaccounts zijn gehackt, waaronder spraakmakende zaken als de phishing-aanval op Hillary Clintons topcampagneadviseur John Podesta en de e-mailhack in 2016 van een van Vladimir Poetins topmedewerkers.

Als reactie op dit soort wijdverbreide aanvallen, computerwetenschappers van Columbia Engineering hebben Easy Email Encryption (E3) gebouwd, een aanvraag voor veilige, versleutelde e-mail die gemakkelijk te beheren is, zelfs voor niet-technische gebruikers. Nu in bètatestmodus, E3 versleutelt automatisch en onzichtbaar e-mail zodra deze op een vertrouwd apparaat wordt ontvangen, inclusief smartphones, laptops, en tabletten. Het werkt op verschillende platforms, waaronder Android, Ramen, Linux, en Google Chrome, en met populaire e-maildiensten zoals Gmail, Yahoo, AOL, en meer.

Het team—professoren Jason Nieh en Steve Bellovin en hun Ph.D. student John S. Koh — presenteerde zijn studie vandaag op EuroSys '19 in Dresden, Duitsland, een van 's werelds topforums gericht op onderzoek en ontwikkeling van computersysteemsoftware.

"E-mailprivacy wordt steeds belangrijker naarmate onze e-mailinboxen groter worden, " merkt Ko op, hoofdauteur van de krant. "Dankzij gratis en zeer populaire e-maildiensten zoals Gmail, gebruikers houden steeds meer e-mails bij, dus een one-stop-shop voor hackers die alle e-mails van een gebruiker kunnen compromitteren met een enkele succesvolle aanval."

Sinds 1999, toen het baanbrekende artikel "Why Johnny Can't Encrypt" aantoonde hoe buitengewoon moeilijk het was voor mensen om versleutelde e-mail te verzenden, onderzoekers hebben geprobeerd coderingssystemen te ontwerpen die voor de gemiddelde gebruiker gemakkelijker te beheren zijn. Het probleem is dat ze gefocust zijn gebleven op end-to-end encryptieoplossingen, waar alleen de oorspronkelijke afzender en ontvanger de berichten kunnen lezen. Derden, waaronder telecommunicatie- en internetproviders, kunnen niet afluisteren omdat ze geen toegang hebben tot de cryptografische sleutels om het gesprek te decoderen. Hoewel deze oplossingen zeker werken en de meeste veiligheid bieden, PGP en S/MIME, de encryptie-oplossingen die het meest de voorkeur hebben van experts, zijn zo complex dat ze onpraktisch zijn, bijna onbruikbaar, voor een niet-technische gebruiker.

"Het gebied van e-mailbeveiliging smeekt gewoon om verbetering, Koh merkt op. "Al 20 jaar, de onderzoeksgemeenschap was gefixeerd op end-to-end beveiliging. We hebben het over een andere boeg gegooid, stellen dat end-to-end encryptie voor e-mail niet nodig is in de 21e eeuw. Internetverbindingen worden standaard steeds vaker beveiligd met encryptie. Ons inzicht is dat e-mail moet worden beschermd wanneer deze in onze inbox wordt opgeslagen, niet wanneer het via internet wordt verzonden, omdat hackers voornamelijk proberen in te loggen op uw e-mailaccount. We passen daarom een ​​'encrypt on ontvangst'-model toe dat uitstekende real-world beveiliging biedt en tegelijkertijd veel bruikbaarder is dan end-to-end encryptie."

In de afgelopen drie jaar, het Columbia Engineering-team verfijnde E3, veel verschillende benaderingen geprobeerd voordat ze een methode vonden die alle vakjes aanvinkte die ze nodig hadden. Ze hebben de app getest met een paar dozijn studiedeelnemers, velen van hen waren niet bijzonder technisch onderlegd. Iedereen was het erover eens dat E3 aanzienlijk gemakkelijker te gebruiken is dan de state-of-the-art systemen voor veilige e-mail, tot het punt waarop E3 ​​bijna net zo gemakkelijk te gebruiken is als een gewone e-mailclient.

De nieuwe aanpak van het team vereenvoudigt e-mailversleuteling en verbetert de bruikbaarheid door ontvangergestuurde versleuteling te implementeren. Nieuw ontvangen berichten worden transparant gedownload en versleuteld naar een lokaal gegenereerde sleutel, waarna het oorspronkelijke bericht wordt vervangen. Een groot probleem was hoe om te gaan met meerdere apparaten, vooral belangrijk tegenwoordig omdat de meeste mensen e-mail op verschillende apparaten lezen. In plaats van privésleutels te verplaatsen, wat moeilijk is om veilig te doen en hoge eisen stelt aan de gebruiker, de onderzoekers gebruikten sleutelparen per apparaat. Met deze aanpak, alleen openbare sleutels hoeven te worden gesynchroniseerd via een eenvoudige verificatiestap. Hackers die met succes een e-mailaccount of server aanvallen, kunnen alleen toegang krijgen tot versleutelde e-mails. Alle e-mails die voorafgaand aan een inbreuk zijn versleuteld, zijn beschermd.

Op E3, openbare sleutels worden nooit met andere mensen gedeeld. Ze zijn zelf gegenereerd en ondertekend, en vereisen geen openbare sleutelinfrastructuur voor de gebruiker om te begrijpen. Eerder werk heeft aangetoond dat gebruikers het verwarrend vinden om openbare sleutels correct te verkrijgen en te gebruiken. In tegenstelling tot, een E3-gebruiker heeft alleen zelfondertekende sleutels nodig, en alle uitwisselingen van openbare sleutels tussen de apparaten van de gebruiker zijn geautomatiseerd.

De onderzoekers merken op dat ze niet van plan zijn E3 een end-to-end, maximale beveiligingsoplossing, maar eerder een grote verbetering ten opzichte van de norm die eenvoudig te implementeren en te gebruiken is. zegt Ko, "We handelden in perfectie - end-to-end, afzendergestuurde codering - voor een aanzienlijke toename van de bruikbaarheid en de mogelijkheid om te beschermen wat we nu weten, is het echte probleem voor de meeste mensen."

Het team verfijnt E3 en maakt de implementaties - de eigenlijke applicaties - nog gebruiksvriendelijker door nieuwe benaderingen uit te proberen die toepasbaar zijn op de moderne gebruiker. Ze zijn van plan om het in de nabije toekomst beschikbaar te maken voor Android-gebruikers als een app die gratis beschikbaar is in de Google Play Store. Een iOS-versie is ook in de maak.