轉貼:黑電郵聯盟-防止電郵被監視的未來科技
阿恆
原文網址:黑電郵聯盟-防止電郵被監視的未來科技 (原文網站已關閉)
由於受到美國國安局 (NSA) 壓力交出加密密碼而自行關門的電郵服務商 Lavabit,與另一間因相同原因而關掉旗下電郵業務的 Silent Circle,合組成「黑電郵聯盟」(Dark Mail Alliance),準備開發可以防止被監視的新一代電郵技術。
新技術的外觀與現有的沒有分別,用戶仍然見到收件夾、寄件夾、草稿等資料夾,收發郵件的程序也沒有分別,但底下傳送數據的方法卻大不相同。新技術採用端對端 (peer-to-peer) 加密,即使說寄件者加密了的電郵,只能在收件者的電腦上解密,傳送途中經過的伺服器沒有解密的密碼,無法讀取其中的內容,除了電郵的內容會加密外,元數據包括寄件者、收件者、標題等亦會加密。加密的機制建基於 Silent Circle 用在即時通訊服務的 SCIMP 協定,加密的密鑰在使用後立即銷毀。
電郵的伺服器會設在加拿大和瑞士,由於伺服器沒有解密電郵的密鑰,所以即使是系統管理員也無法讀取電郵的資料。
該聯盟表示,他們將會公開通訊協定和系統架構的一切資料,並協助其他人實作這項新技術,解決因網絡監察而引起對隱私權的憂慮,和對系統後門漏洞的疑慮。
傳統的電郵系統使用 SMTP、IMAP 和 POP 等協定,不會加密電郵的內容,通訊的過程也沒有任何保護措施。比較新的系統採用 SSL/TLS 技術把網絡通訊的數據加密,但儲存在伺服器內的電郵仍然可被任意讀取,情報或執法部門可以強逼電郵服務商交出硬盤裏的資料。對隱私比較重視的人會使用 PGP 技術把內容進行端對端加密,這樣儲存在伺服器內的是已經被 PGP 加密的數據,只有在收件者的電腦內才能解密這些數據,但是元數據包括寄件者、收件者、標題等仍然以明文的方式儲存在伺服器。被「黑電郵聯盟」稱為第三代電郵系統 (Email 3.0) 的新技術可以解決以上所有問題,到時即使情報機關登門造訪,要他們交出客戶的電郵資料,他們也無能為力,因為技術上根本沒可能,「這正是新技術漂亮之處」。
「黑電郵聯盟」將於數星期內編寫好新技術的規格文件,讓世界各地的保安專家審視和提出改進建議。