Je Gmail šifrovaný?

Při přenosu mezi poštovními servery (STARTTLS), ano – a v klidu v úložišti Google. Ve výchozím nastavení není šifrováno end-to-end. Servery Google vidí obsah vaší zprávy a zásady společnosti Google (a zákonné donucení USA) určují, co s touto viditelností dělají. Pro end-to-end na Gmailu budete muset sami přidat PGP nebo S/MIME.

Jaký je rozdíl mezi ProtonMail a Gmail s PGP?

Oba mohou být end-to-end šifrovány. ProtonMail dělá z E2E výchozí nastavení pro poštu v síti a zpracovává klíče za vás. Gmail-with-PGP vyžaduje manuální správu klíčů. Metadata ProtonMailu jsou o něco lépe chráněna (šifrované řádky předmětu, šifrování seznamu kontaktů atd.). Kompromisem je pohodlí versus kontrola.

Může můj zaměstnavatel číst šifrované e-maily?

Pokud používáte pouze šifrování STARTTLS, ano – poštovní server vašeho zaměstnavatele vidí prostý text. Pokud používáte S/MIME s certifikátem vydaným společností, váš zaměstnavatel může mít přístup ke klíčům vydávajícího CA. Pokud používáte PGP nebo ProtonMail s vlastními klíči, ne – váš zaměstnavatel vidí pouze zašifrované bloby.

Je šifrování end-to-end všude legální?

Ve většině demokracií je to legální. Některé autoritářské země to omezují nebo zakazují. Britský zákon o online bezpečnosti a návrhy EU týkající se kontroly chatu vytvořily napětí; ProtonMail a podobné služby mohou v některých jurisdikcích čelit omezením přístupu. V současné době je používání e-mailu E2E legální v USA, EU, Velké Británii, Kanadě, Austrálii a většině zemí.

Mám používat S/MIME nebo PGP?

S/MIME pro podniková prostředí, kde IT oddělení vydává certifikáty a vy potřebujete interoperabilitu s aplikací Outlook a podnikovými systémy. PGP pro individuální použití, zejména s nepodnikovými korespondenty nebo tam, kde nedůvěřujete hierarchii CA. Nejsou snadno interoperabilní, takže výběr závisí na tom, s kým si většinou dopisujete.

Vysvětlení šifrování e-mailů: Od STARTTLS přes S/MIME po End-to-End

E-mail byl navržen v roce 1982 bez šifrování. O čtyřicet let později je většina zpráv šifrována při přenosu mezi poštovními servery, některé jsou šifrovány v úložišti u poskytovatelů a mizivá menšina je šifrována end-to-end od odesílatele k příjemci. Na rozdílu nesmírně záleží, před čím „šifrovaný e-mail“ skutečně chrání.

Celé tělo článku je uvedeno níže v angličtině.

Šifrování e-mailů pokrývá několik různých technologií, které chrání obsah e-mailů před různými protivníky. Kategorie je pojmenována matoucím způsobem, protože „šifrovaný e-mail“ může v různých kontextech znamenat velmi odlišné věci.

Tři vrstvy šifrování e-mailů

Transportní šifrování (STARTTLS / SMTPS). Spojení mezi poštovními servery je šifrováno. Pozorovatelé sítě nemohou zprávu během přenosu přečíst. Poskytovatelé pošty mohou.
Šifrování v klidu. Poskytovatel šifruje zprávy uložené na disku. Síťové čichání je irelevantní; narušení databáze je zmírněno; poskytovatel má stále klíče.
End-to-end šifrování (PGP, S/MIME, šifrované služby jako ProtonMail). Zpráva je zašifrována softwarem odesílatele a dešifrována softwarem příjemce. Poštovní servery vidí pouze šifrovaný text.

Když lidé říkají „šifrovaný e-mail“, často myslí STARTTLS, což je nejslabší ze tří. Poskytovatelé pošty mohou stále číst vše.

STARTTLS: Transportní vrstva

STARTTLS upgraduje prosté připojení SMTP na TLS. Používá Gmail, Outlook.com, Yahoo, ProtonMail a většina poskytovatelů pošty. Dva problémy:

Ve výchozím nastavení příležitostné. Pokud přijímající server nenabízí STARTTLS, odesílatel se vrátí k prostému textu. Útočník, který může downgradovat připojení (StripTLS), čte provoz.
MTA-STS (Mail Transfer Agent Strict Transport Security) – publikováno v RFC 8461, umožňuje doménám vyžadovat STARTTLS prostřednictvím zásad DNS. Adopce je stálá; velcí poskytovatelé to ctí.

STARTTLS chrání před pasivními síťovými pozorovateli mezi poštovními servery, ale ne před samotnými poskytovateli.

S/MIME: firemní možnost

S/MIME (bezpečný/víceúčelový standard)-konec 2x Internet Mail Encryption 4PLZ který používá certifikáty X.509 (stejný druh jako TLS) vydané certifikačními autoritami. Každý uživatel má osobní certifikát; zprávy jsou zašifrovány do certifikátu příjemce a podepsány odesílatelovým certifikátem.

S/MIME se hojně používá v:

finanční služby pro komunikaci s klientem
Vládní agentury (americké ministerstvo obrany to intenzivně používá)
Heal compliance
Podniky s infrastrukturou PKI

Outlook, Apple Mail a Thunderbird mají vestavěnou podporu S/MIME. Spor: získávání a správa osobních certifikátů je práce na podnikové úrovni, nikoli uživatelsky přívětivá.

PGP/OpenPGP: aktivistická volba

OpenPGP (standard za PGP a GnuPG) je starší, decentralizovaný end-to-end šifrovací protokol. Žádná hierarchie CA – klíče si vyměňují přímo uživatelé, přičemž za klíče se volitelně zaručuje Web of Trust. Podívejte se na náš článek PGP.

PGP šifrování široce používají:

Novináři a jejich zdroje
Vývojáři s otevřeným zdrojovým kódem podepisující vydání
Specialisté na ochranu osobních údajů2sebezpečnostní aktivity poskytovatelé e-mailu (ProtonMail, Tutanota, Mailfence)

Pro většinu příležitostných uživatelů je PGP provozně příliš náročný na to, aby jej bylo možné trvale používat. Vylepšení uživatelské zkušenosti v průběhu let (Mailvelope, FlowCrypt, automatické zjišťování klíčů prostřednictvím WKD) pomohlo, ale nestačilo k tomu, aby se to stalo mainstreamem.

ProtonMail a podobné: spravované E2E

Služby jako ProtonMail, Tutanota a Mailbox.org poskytují uživatelům skryté šifrování mezi koncovými uživateli. Poskytovatel drží váš zašifrovaný soukromý klíč, dešifrování probíhá na straně klienta (v prohlížeči nebo aplikaci) a uživatelé nemusejí klíče spravovat přímo. it

Poskytovatele lze teoreticky donutit, aby vytvořil váš šifrovaný blob s privátním klíčem a přesvědčil vás, abyste se ověřili, abyste jej dešifrovali, v závislosti na modelu hrozby

Pro uživatele, kteří chtějí silné e-mailové soukromí bez správy PGP, jsou služby typu ProtonMail tou správnou odpovědí. U modelů s nejvyššími hrozbami zůstávají klíče PGP s vlastní správou silnější.

To, co unikne i s E2E email

Metadata, je slon v místnosti. End-to-end šifrování chrání tělo zprávy. Nechrání:

Předmět. S/MIME a PGP šifrují tělo, takže předmět ponechává viditelný komukoli s přístupem k poštovnímu serveru.
Záhlaví Komu, Od, Kopie, Skrytá kopie. Kdo s kým mluví, je plně viditelný.TXTm jsou zprávy odesílány, frekvence a XPLZ jsou odesílány jak často, komu.
Velikosti a názvy příloh v některých implementacích.

Pro velmi vysoce nebezpečnou komunikaci mají moderní šifrované aplikace pro zasílání zpráv (Signal, Briar) silnější vlastnosti metadat než šifrované e-maily a měly by být preferovány pro většinu Z189PLZ1XPL.X uživatelé

Pro běžnou korespondenci: Standardní e-mail s renomovaným poskytovatelem, který používá STARTTLS a šifrování v klidu, je v pořádku.
Pro každodenní použití s ohledem na soukromí: ProtonMail, silný výchozí poskytovatel se silným výchozím nastavením Tutanota nebo podobný. Transparentně zašifrováno v rámci sítě.
Pro vysoce citlivý obsah: Nepoužívejte e-mail vůbec. Použijte Signal nebo srovnatelný end-to-end šifrovaný messenger se silnějšími vlastnostmi metadat.
Pro archivní nebo právní kontext: S/MIME nebo PGP pro nepopiratelnost a řetězec ochrany, s explicitním pochopením provozní režie.

Často kladené otázky

Je Gmail šifrovaný?: Při přenosu mezi poštovními servery (STARTTLS), ano – a v klidu v úložišti Google. Ve výchozím nastavení není šifrováno end-to-end. Servery Google vidí obsah vaší zprávy a zásady společnosti Google (a zákonné donucení USA) určují, co s touto viditelností dělají. Pro end-to-end na Gmailu budete muset sami přidat PGP nebo S/MIME.
Jaký je rozdíl mezi ProtonMail a Gmail s PGP?: Oba mohou být end-to-end šifrovány. ProtonMail dělá z E2E výchozí nastavení pro poštu v síti a zpracovává klíče za vás. Gmail-with-PGP vyžaduje manuální správu klíčů. Metadata ProtonMailu jsou o něco lépe chráněna (šifrované řádky předmětu, šifrování seznamu kontaktů atd.). Kompromisem je pohodlí versus kontrola.
Může můj zaměstnavatel číst šifrované e-maily?: Pokud používáte pouze šifrování STARTTLS, ano – poštovní server vašeho zaměstnavatele vidí prostý text. Pokud používáte S/MIME s certifikátem vydaným společností, váš zaměstnavatel může mít přístup ke klíčům vydávajícího CA. Pokud používáte PGP nebo ProtonMail s vlastními klíči, ne – váš zaměstnavatel vidí pouze zašifrované bloby.
Je šifrování end-to-end všude legální?: Ve většině demokracií je to legální. Některé autoritářské země to omezují nebo zakazují. Britský zákon o online bezpečnosti a návrhy EU týkající se kontroly chatu vytvořily napětí; ProtonMail a podobné služby mohou v některých jurisdikcích čelit omezením přístupu. V současné době je používání e-mailu E2E legální v USA, EU, Velké Británii, Kanadě, Austrálii a většině zemí.
Mám používat S/MIME nebo PGP?: S/MIME pro podniková prostředí, kde IT oddělení vydává certifikáty a vy potřebujete interoperabilitu s aplikací Outlook a podnikovými systémy. PGP pro individuální použití, zejména s nepodnikovými korespondenty nebo tam, kde nedůvěřujete hierarchii CA. Nejsou snadno interoperabilní, takže výběr závisí na tom, s kým si většinou dopisujete.