رمزنگاری ارتباطات در سرویس ایمیل Yahoo

هفته گذشته شرکت Yahoo به وعده ای که چند ماه قبل داده بود، جامه عمل پوشاند و رمزنگاری ارتباطات بین کاربر و سرویس های ایمیل خود را بصورت خودکار فعال کرد.

از این پس تمامی ارتباطات با سرویس های ایمیل Yahoo، صرفنظر از نوع برنامه (مرورگر یا برنامه های موبایل) و پودمان (IMAP،POP یا SMTP)، بصورت HTTPS بوده و با گواهینامه های 2048 بیتی رمز می شوند. این رمزنگاری شامل ایمیل، پیوست های آن، اطلاعات تماسها، تقویم کاری و پیام رسان فوری در سرویس ایمیل می شود. هر چند که شرکت Yahoo، از اواخر سال 2012 پشتیبانی از ارتباطات SSL/TLS را آغاز کرده بود اما کاربران باید این قابلیت را در تنظیمات سرویس ایمیل خود فعال می ساختند. فعال سازی پیش فرض این قابلیت، کاری است که رقبایی همچون Gmail نزدیک به چهار سال پیش انجام داده بودند. اما روش ها و ابزارهای رمزنگاری خودکار این غول اینترنتی، آن هم با این همه تاخیر، چندان هم مطابق با انتظارات نیست.

به گفته کارشناسان امنیتی، HTTPS راه اندازی شده در سرورهای مختلف ناسازگار و حتی در برخی موارد ناامن می باشد. برای مثال، برخی سرورهای ایمیل از رمز دنباله ای RC4 استفاده می کنند. حال آنکه این کارشناسان RC4 را به اندازه کافی امن نمی دانند. برخی سرورهای دیگر همچون login.yahoo.com بطور عمده از استاندارد رمزنگاری پیشرفته AES استفاده می کنند. ولی در اینجا هم اقدامات بازدارنده در خصوص حملات شناخته شده ای همچون BEAST و CRIME برای آنها در نظر گرفته نشده است.

از دیگر انتقاداتی که به سرویس جدید وارد شده است، عدم پشتیبانی سرورهای این شرکت از Forward Secrecy می باشد. قابلیتی که رمزگشایی ترافیکهای شنوده شده را حتی با لو رفتن کلید خصوصی در آینده غیرممکن می سازد. Forward Secrecy از ویژگی های الگوریتم تبادل کلید Diffie-Hellman است. در عوض Yahoo از الگوریتم سنتی RSA برای این منظور استفاده می کند. در مقابل، پودمان HTTPS دیگر غول اینترنتی، یعنی Google، از سال 2011 قابلیت Forward Secrecy را پشتیبانی می کند. شرکتهای بزرگ دیگری همچون Facebook و Twitter نیز این قابلیت را پیاده  سازی کرده اند.

با توجه به حملات آزمایشگاهی و واقعی در سالهای اخیر به پودمان SSL کارشناس امنیتی استفاده از رمزهای قطعه‌ای GCM را نیز توصیه می کنند. این امکان تنها در آخرین نگارش TLS، یعنی 1.2، ارائه می شود. نگارشی که همه سرورهای شرکت Yahoo آن را پشتیبانی نمی کنند.

فعال سازی پیش فرض رمزنگاری ارتباطات، گامی با اهمیت برای شرکت Yahoo به شمار می رود اما شاید بهتر می بود که این شرکت خود با شفافیت بیشتر وعده برطرف ساختن اشکالات را نیز در آینده ای نزدیک می داد.

اقدام اخیر Yahoo به دنبال درخواستهای بسیار فعالان امنیت سایبری و حامیان حریم خصوصی کاربران برای فعال سازی پودمان HTTPS بوده است. افشاگری های اخیر در خصوص رصد داده ها و ارتباطات اینترنتی توسط سازمان امنیت ملی آمریکا (NSA) و مرکز شنود دولت انگلیس (GCHQ)، شرکت Yahoo را هدفی آسان برای جمع آوری داده های کاربران توسط سرویسهای جاسوسی ساخته بود.

سندی فوق سری که توسط Edward Snowden، پیمانکار سابق سازمان NSA و افشاگر مشهور آمریکایی، به بیرون درز کرده، نشان می دهد تنها در یک روز در سال 2012، سازمان امنیت ملی آمریکا، 440 هزار دفترچه اطلاعات تماس (Address Book) کاربران شرکت Yahoo را جمع آوری کرده است. این در حالی است که به استناد همان سند، این تعداد برای سرویسهای ارائه شده توسط شرکتهای مشابه همچون Facebook ,Hotmail و Gmail به ترتیب 100 هزار، 82 هزار و 33 هزار مورد بوده است. تعدادی که مراتب بسیار کمتر از اطلاعات جمع آوری شده از سرویسهای شرکت Yahoo بوده است.

رسانه ای که خبر جمع آوری داده های شرکت Yahoo را توسط سازمان امنیت ملی آمریکا منتشر ساخته بود، به این شرکت توصیه کرده بود که رمزنگاری داده ها و ارتباطات را از سرویس های ایمیل خود فراتر ببرد. در ماه نوامبر، مدیر عامل شرکت Yahoo اعلام کرد که در سه ماهه اول سال 2014 امکان رمزنگاری داده های ردوبدل شده میان کاربران و مراکز داده های این شرکت نیز میسر خواهد شد.