Medan en tom e -postinkorg är något många strävar efter, de flesta av oss är inte framgångsrika. Och det betyder att vi förmodligen har lagrat hundratals, till och med tusentals, e -postmeddelanden som innehåller alla typer av personlig information som vi föredrar att hålla privat.

Nuvarande försvar, såsom Pretty Good Privacy (PGP) och Secure/Multipurpose Internet Mail Extensions (S/MIME), förlita sig på kryptografi med publik nyckel som använder par av offentliga och privata nycklar som genereras av kryptografiska algoritmer. Eftersom dessa system är för tekniska och svåra för den genomsnittliga användaren, de flesta använder dem inte. Som ett resultat, många e -postkonton har hackats, inklusive sådana högprofilerade fall som nätfiskeattacken mot Hillary Clintons bästa kampanjrådgivare John Podesta och e-posthacket 2016 från en av Vladimir Putins bästa medhjälpare.

Som svar på denna typ av omfattande attacker, datavetare vid Columbia Engineering har byggt Easy Email Encryption (E3), en ansökan om säker, krypterad e-post som är lätt att hantera även för icke-tekniska användare. Nu i betatestläge, E3 krypterar automatiskt och osynligt e-post så snart det tas emot på en betrodd enhet, inklusive smartphones, bärbara datorer, och tabletter. Det fungerar på en mängd olika plattformar, inklusive Android, Windows, Linux, och Google Chrome, och med populära e -posttjänster som Gmail, Yahoo, AOL, och mer.

Teamet - professorerna Jason Nieh och Steve Bellovin och deras doktorand. student John S. Koh - presenterade sin studie idag på EuroSys '19 i Dresden, Tyskland, ett av världens främsta forum med fokus på forskning och utveckling av datorsystemprogramvara.

"E-postsekretess blir allt viktigare när våra e-postkorgar ökar i storlek, " noterar Koh, tidningens huvudförfattare. "Tack vare gratis och mycket populära e -posttjänster som Gmail, användare behåller fler och fler mejl, vilket ger en one-stop-shop för hackare som kan äventyra alla användares e-postmeddelanden med en enda lyckad attack. "

Ända sedan 1999, när det viktiga "Why Johnny Can't Encrypt" -pappret visade hur utomordentligt svårt det var för människor att skicka krypterad e -post, forskare har försökt att designa krypteringssystem som är lättare för den vanliga användaren att hantera. Problemet är att de har fokuserat på end-to-end-krypteringslösningar, där endast den ursprungliga avsändaren och mottagaren kan läsa meddelandena. Utomstående, inklusive telekommunikations- och internetleverantörer, kan inte avlyssna eftersom de inte kan komma åt de kryptografiska nycklarna för att dekryptera konversationen. Även om dessa lösningar verkligen fungerar och erbjuder mest säkerhet, PGP och S/MIME, de krypteringslösningar som gynnas mest av experter, är så komplexa att de är opraktiska, nästan oanvändbar, för en icke-teknisk användare.

"E -postsäkerhetsområdet ber bara om förbättring, "Koh -anteckningar." I 20 år har forskarvärlden var fixerad vid end-to-end-säkerhet. Vi tog en annan takt, som påstår att end-to-end-kryptering för e-post inte behövs under 2000-talet. Internetanslutningar skyddas alltmer som standard med kryptering. Vår insikt är att e-post måste skyddas när den lagras i våra inkorgar, inte när det skickas över Internet, eftersom hackare huvudsakligen bara försöker logga in på ditt e -postkonto. Vi tillämpar alltså en "kryptera vid kvitto" -modell som ger utmärkt verklig säkerhet samtidigt som den är mycket mer användbar än end-to-end-kryptering. "

Under de senaste tre åren har Columbia Engineering-teamet förfinade E3, prova många olika tillvägagångssätt innan de hittade en metod som kryssade i alla rutor de behövde. De har testat appen med ett par dussin studiedeltagare, varav många inte var särskilt tekniskt kunniga. Alla var överens om att E3 är betydligt enklare att använda än de toppmoderna systemen för säker e-post, till den punkt där E3 är nästan lika lätt att använda som en vanlig e -postklient.

Teamets nya tillvägagångssätt förenklar e-postkryptering och förbättrar dess användbarhet genom att implementera mottagarkontrollerad kryptering. Nyligen mottagna meddelanden laddas ner och krypteras transparent till en lokalt genererad nyckel och det ursprungliga meddelandet ersätts sedan. Ett stort problem var hur man hanterar flera enheter, särskilt viktigt nuförtiden eftersom de flesta läser e -post på flera enheter. Istället för att flytta runt privata nycklar, vilket är svårt att göra säkert och ställer stora krav på användaren, forskarna använde nyckelpar per enhet. Med detta tillvägagångssätt, bara offentliga nycklar behöver synkroniseras via ett enkelt verifieringssteg. Hackare som framgångsrikt attackerar ett e-postkonto eller en server kan bara få tillgång till krypterad e-post. Alla e-postmeddelanden som krypteras före ett intrång är skyddade.

I E3, offentliga nycklar delas aldrig med andra människor. De är självgenererade och självsignerade, och kräver ingen offentlig nyckelinfrastruktur för användaren att förstå. Tidigare arbete har visat att användare tycker att det är förvirrande att korrekt skaffa och använda offentliga nycklar. I kontrast, en E3-användare behöver bara självsignerade nycklar, och alla utbyten av offentliga nycklar mellan användarens enheter är automatiserade.

Forskarna noterar att de inte tänker E3 vara en end-to-end, maximal säkerhetslösning, utan snarare en stor förbättring jämfört med normen som är lätt att distribuera och använda. Säger Koh, "Vi handlade perfektion-från ände till ände, avsändarkontrollerad kryptering-för en betydande ökning av användbarheten och förmågan att skydda det vi nu vet är det verkliga problemet för de flesta. "

Teamet förfinar E3 och gör dess implementeringar – de faktiska applikationerna – ännu enklare att använda genom att prova nya tillvägagångssätt som är tillämpliga på den moderna användaren. De planerar att göra den tillgänglig inom en snar framtid för Android-användare som en app fritt tillgänglig i Google Play Butik. En iOS-version är också på gång.