e8d3a4f2b16c...9f1b8d3e7a52...PGP or S/MIME — body encryptedsubject + To/From still visible

Κρυπτογράφηση email

11 ελάχιστη ανάγνωσηΜυστικότητα

Το email σχεδιάστηκε το 1982 χωρίς κρυπτογράφηση. Σαράντα χρόνια αργότερα, τα περισσότερα μηνύματα κρυπτογραφούνται κατά τη μεταφορά μεταξύ διακομιστών αλληλογραφίας, μερικά κρυπτογραφούνται σε αποθήκευση στους παρόχους και μια εξαφανιστικά μικρή μειοψηφία κρυπτογραφείται από άκρο σε άκρο από τον αποστολέα στον παραλήπτη. Η διάκριση έχει τεράστια σημασία για το από τι πραγματικά προστατεύει το "κρυπτογραφημένο email".

Το πλήρες κείμενο του άρθρου παρέχεται στα Αγγλικά παρακάτω.

Κρυπτογράφηση email Το καλύπτει πολλές ξεχωριστές τεχνολογίες που προστατεύουν το περιεχόμενο email από διάφορους αντιπάλους. Η κατηγορία έχει μπερδευτεί επειδή το "κρυπτογραφημένο email" μπορεί να σημαίνει πολύ διαφορετικά πράγματα σε διαφορετικά περιβάλλοντα.

Τρία επίπεδα κρυπτογράφησης email

  • Κρυπτογράφηση μεταφοράς (STARTTLS / SMTPS). Οι παρατηρητές δικτύου δεν μπορούν να διαβάσουν το μήνυμα κατά τη μεταφορά. Οι πάροχοι αλληλογραφίας μπορούν.
  • At-rest κρυπτογράφηση. Ο πάροχος κρυπτογραφεί αποθηκευμένα μηνύματα στο δίσκο. Το sniffing δικτύου είναι άσχετο. Οι παραβιάσεις της βάσης δεδομένων μετριάζονται. ο πάροχος έχει ακόμα τα κλειδιά.
  • Κρυπτογράφηση από άκρο σε άκρο (PGP, S/MIME, κρυπτογραφημένες υπηρεσίες όπως το ProtonMail). Το μήνυμα κρυπτογραφείται από το λογισμικό του αποστολέα και αποκρυπτογραφείται από το λογισμικό του παραλήπτη. Οι διακομιστές αλληλογραφίας βλέπουν μόνο κρυπτογραφημένο κείμενο.

Όταν οι άνθρωποι λένε "κρυπτογραφημένο email" συχνά εννοούν STARTTLS, το οποίο είναι το πιο αδύναμο από τα τρία. Οι πάροχοι αλληλογραφίας εξακολουθούν να μπορούν να διαβάζουν τα πάντα.

STARTTLS: το επίπεδο μεταφοράς

STARTTLS αναβαθμίζει μια απλή σύνδεση SMTP σε TLS. Το Gmail, το Outlook.com, το Yahoo, το ProtonMail και οι περισσότεροι πάροχοι αλληλογραφίας το χρησιμοποιούν. Δύο ζητήματα:

  • Ευκαιριακό από προεπιλογή. Εάν ο διακομιστής λήψης δεν προσφέρει STARTTLS, ο αποστολέας επιστρέφει σε απλό κείμενο. Ένας εισβολέας που μπορεί να υποβαθμίσει τη σύνδεση (StripTLS) διαβάζει την επισκεψιμότητα.
  • MTA-STS (Mail Transfer Agent Strict Transport Security) — που δημοσιεύτηκε στο RFC 8461, επιτρέπει στους τομείς να απαιτούν STARTTLS μέσω πολιτικής DNS. Η υιοθεσία είναι σταθερή. Οι μεγάλοι πάροχοι το τιμούν.

STARTTLS προστατεύει από παθητικούς παρατηρητές δικτύου μεταξύ διακομιστών αλληλογραφίας αλλά όχι από τους ίδιους τους παρόχους. είναι ένα πρότυπο κρυπτογράφησης από άκρο σε άκρο που χρησιμοποιεί πιστοποιητικά X.509 (το ίδιο είδος με το TLS) που εκδίδονται από τις Αρχές Πιστοποιητικών. Κάθε χρήστης έχει προσωπικό πιστοποιητικό. Τα μηνύματα κρυπτογραφούνται στο πιστοποιητικό του παραλήπτη και υπογράφονται με το πιστοποιητικό του αποστολέα. Το

S/MIME χρησιμοποιείται ευρέως σε:

  • Χρηματοοικονομικές υπηρεσίες για επικοινωνία με πελάτες
  • Κρατικές υπηρεσίες (Η.Π.Α. DoDXPLZ5care για συμμόρφωση HIPAA
  • Επιχειρήσεις με υποδομή PKI

Outlook, Apple Mail και Thunderbird έχουν ενσωματωμένη υποστήριξη S/MIME. Η τριβή: η απόκτηση και η διαχείριση προσωπικών πιστοποιητικών είναι δουλειά για επιχειρήσεις και όχι φιλική προς τον καταναλωτή.

PGP/OpenPGP: η επιλογή ακτιβιστών

OpenPGP (το πρότυπο πίσω από το PGP και το GnuPG) είναι το παλαιότερο, αποκεντρωμένο πρωτόκολλο κρυπτογράφησης από άκρο σε άκρο. Δεν υπάρχει ιεραρχία CA — τα κλειδιά ανταλλάσσονται απευθείας μεταξύ των χρηστών, με ένα Web of Trust να εγγυάται προαιρετικά τα κλειδιά. Δείτε το άρθρο μας PGP.

PGP Η κρυπτογράφηση χρησιμοποιείται ευρέως από:

  • Δημοσιογράφους και τις πηγές τους
  • Προγραμματιστές ανοιχτού κώδικα που υπογράφουν εκδόσεις
    • SXPL. ακτιβιστές
  • Μερικοί εξειδικευμένοι πάροχοι email (ProtonMail, Tutanota, Mailfence)

Για τους περισσότερους απλούς χρήστες, το PGP είναι πολύ βαρύ λειτουργικά για να χρησιμοποιείται με συνέπεια. Οι βελτιώσεις στην εμπειρία χρήστη με τα χρόνια (Mailvelope, FlowCrypt, αυτοματοποιημένη ανακάλυψη κλειδιού μέσω WKD) βοήθησαν, αλλά όχι αρκετές, ώστε να γίνει mainstream. η πολυπλοκότητα που κρύβεται. Ο πάροχος κρατά το κρυπτογραφημένο ιδιωτικό κλειδί σας, η αποκρυπτογράφηση γίνεται από την πλευρά του πελάτη (στο πρόγραμμα περιήγησης ή την εφαρμογή) και οι χρήστες δεν χρειάζεται να διαχειρίζονται τα κλειδιά απευθείας. μη κρυπτογραφημένο ή χρησιμοποιήστε PGP εάν ο παραλήπτης το έχει

  • Ο πάροχος μπορεί θεωρητικά να εξαναγκαστεί να δημιουργήσει το κρυπτογραφημένο blob με ιδιωτικό κλειδί και να σας πείσει να ελέγξετε την ταυτότητα για να το αποκρυπτογραφήσετε, ανάλογα με το μοντέλο απειλής σωστή απάντηση. Για τα μοντέλα υψηλότερης απειλής, τα αυτοδιαχειριζόμενα κλειδιά PGP παραμένουν πιο ισχυρά. Η κρυπτογράφηση από άκρο σε άκρο προστατεύει το σώμα του μηνύματος. Δεν προστατεύει:

    • Η γραμμή θέματος. S/MIME και PGP κρυπτογραφούν το σώμα, αφήνοντας το θέμα ορατό σε οποιονδήποτε έχει πρόσβαση στον διακομιστή αλληλογραφίας. συχνότητα. Πότε αποστέλλονται μηνύματα, πόσο συχνά, σε ποιον.
    • Μεγέθη και ονόματα συνημμένων σε ορισμένες εφαρμογές. προτιμήστε.

      Τι πρέπει να κάνετε για τους περισσότερους χρήστες

      • Για τακτική αλληλογραφία: Τυπικό email με έναν αξιόπιστο πάροχο που χρησιμοποιεί STARTTLS και κρυπτογράφηση σε κατάσταση ηρεμίας είναι μια χαρά καθημερινά.
        • χρήση: ProtonMail, Tutanota ή παρόμοιο πάροχο με ισχυρές προεπιλογές. Κρυπτογραφημένο εντός του δικτύου, με διαφάνεια.
      • Για ευαίσθητο περιεχόμενο υψηλού πονταρίσματος: Μην χρησιμοποιείτε καθόλου email. Χρησιμοποιήστε το Signal ή έναν συγκρίσιμο από άκρο σε άκρο κρυπτογραφημένο αγγελιοφόρο με ισχυρότερες ιδιότητες μεταδεδομένων.
      • Για αρχειακά ή νομικά περιβάλλοντα: S/MIME ή PGP για μη αποκήρυξη και αλυσιδωτή φύλαξη, με ρητή υπερκεφαλική κατανόηση του θέματος7XXXPL

    • Συχνές ερωτήσεις

    Είναι το Gmail κρυπτογραφημένο;
    Κατά τη μεταφορά μεταξύ διακομιστών αλληλογραφίας (STARTTLS), ναι — και σε κατάσταση ηρεμίας στον αποθηκευτικό χώρο της Google. Δεν είναι κρυπτογραφημένο από άκρο σε άκρο από προεπιλογή. Οι διακομιστές της Google βλέπουν τα περιεχόμενα των μηνυμάτων σας και οι πολιτικές της Google (και ο νομικός καταναγκασμός των ΗΠΑ) διέπουν τι κάνουν με αυτήν την προβολή. Για από άκρο σε άκρο στο Gmail, θα πρέπει να προσθέσετε μόνοι σας PGP ή S/MIME.
    Ποια είναι η διαφορά μεταξύ ProtonMail και Gmail με PGP;
    Και τα δύο μπορούν να είναι κρυπτογραφημένα από άκρο σε άκρο. Το ProtonMail καθιστά το E2E ως προεπιλογή για αλληλογραφία εντός δικτύου και χειρίζεται τα κλειδιά για εσάς. Το Gmail-with-PGP απαιτεί μη αυτόματη διαχείριση κλειδιών. Τα μεταδεδομένα του ProtonMail προστατεύονται κάπως καλύτερα (κρυπτογραφημένες γραμμές θέματος, κρυπτογράφηση λίστας επαφών, κ.λπ.). Η αντιστάθμιση είναι ευκολία έναντι ελέγχου.
    Μπορεί ο εργοδότης μου να διαβάσει κρυπτογραφημένα μηνύματα ηλεκτρονικού ταχυδρομείου;
    Εάν χρησιμοποιείτε κρυπτογράφηση μόνο STARTTLS, ναι — ο διακομιστής αλληλογραφίας του εργοδότη σας βλέπει απλό κείμενο. Εάν χρησιμοποιείτε S/MIME με εταιρικό πιστοποιητικό, ο εργοδότης σας μπορεί να έχει πρόσβαση στα κλειδιά της ΑΠ έκδοσης. Εάν χρησιμοποιείτε PGP ή ProtonMail με τα δικά σας κλειδιά, όχι — ο εργοδότης σας βλέπει μόνο κρυπτογραφημένες σταγόνες.
    Είναι νόμιμη η κρυπτογράφηση από άκρο σε άκρο παντού;
    Είναι νόμιμο στις περισσότερες δημοκρατίες. Ορισμένες αυταρχικές χώρες το περιορίζουν ή το απαγορεύουν. Ο νόμος για την ασφάλεια στο Διαδίκτυο του Ηνωμένου Βασιλείου και οι προτάσεις της ΕΕ για τον έλεγχο συνομιλιών έχουν δημιουργήσει εντάσεις. Η ProtonMail και παρόμοιες υπηρεσίες ενδέχεται να αντιμετωπίσουν περιορισμούς πρόσβασης σε ορισμένες δικαιοδοσίες. Επί του παρόντος, η χρήση ηλεκτρονικού ταχυδρομείου E2E είναι νόμιμη στις ΗΠΑ, την ΕΕ, το Ηνωμένο Βασίλειο, τον Καναδά, την Αυστραλία και τις περισσότερες χώρες.
    Πρέπει να χρησιμοποιήσω S/MIME ή PGP;
    S/MIME για εταιρικά περιβάλλοντα όπου το τμήμα IT εκδίδει πιστοποιητικά και χρειάζεστε διαλειτουργικότητα με το Outlook και εταιρικά συστήματα. PGP για ατομική χρήση, ειδικά με ανταποκριτές μη επιχειρήσεων ή όπου δεν εμπιστεύεστε μια ιεραρχία ΑΠ. Δεν αλληλολειτουργούν εύκολα, επομένως η επιλογή εξαρτάται από το με ποιον επικοινωνείτε κυρίως.
    Επεξήγηση κρυπτογράφησης email: Από STARTTLS σε S/MIME σε End-to-End