Je Gmail šifrovaný?

Pri prenose medzi poštovými servermi (STARTTLS), áno – a v pokoji v úložisku Google. V predvolenom nastavení nie je šifrované end-to-end. Servery Google vidia obsah vašej správy a pravidlá spoločnosti Google (a zákonné donútenie v USA) určujú, čo robia s touto viditeľnosťou. Pre end-to-end v Gmaile budete musieť sami pridať PGP alebo S/MIME.

Aký je rozdiel medzi ProtonMail a Gmail s PGP?

Oba môžu byť end-to-end šifrované. ProtonMail robí E2E predvoleným pre poštu v sieti a spracováva kľúče za vás. Gmail-with-PGP vyžaduje manuálnu správu kľúčov. Metadáta ProtonMailu sú o niečo lepšie chránené (šifrované riadky predmetov, šifrovanie zoznamu kontaktov atď.). Kompromisom je pohodlie verzus ovládanie.

Môže môj zamestnávateľ čítať zašifrované e-maily?

Ak používate iba šifrovanie STARTTLS, áno – poštový server vášho zamestnávateľa vidí čistý text. Ak používate S/MIME s certifikátom vydaným spoločnosťou, váš zamestnávateľ môže mať prístup ku kľúčom vydávajúcej CA. Ak používate PGP alebo ProtonMail s vlastnými kľúčmi, nie – váš zamestnávateľ vidí iba zašifrované bloby.

Je end-to-end šifrovanie všade legálne?

Vo väčšine demokracií je to legálne. Niektoré autoritárske krajiny to obmedzujú alebo zakazujú. Zákon Spojeného kráľovstva o online bezpečnosti a návrhy EÚ na kontrolu chatu vytvorili napätie; ProtonMail a podobné služby môžu v niektorých jurisdikciách čeliť obmedzeniam prístupu. V súčasnosti je používanie e-mailu E2E legálne v USA, EÚ, Spojenom kráľovstve, Kanade, Austrálii a vo väčšine krajín.

Mám použiť S/MIME alebo PGP?

S/MIME pre podnikové prostredia, kde IT oddelenie vydáva certifikáty a potrebujete interoperabilitu s Outlookom a podnikovými systémami. PGP na individuálne použitie, najmä s nepodnikovými korešpondentmi alebo tam, kde nedôverujete hierarchii CA. Nie je ľahké vzájomne spolupracovať, takže výber závisí od toho, s kým si väčšinou dopisujete.

Vysvetlenie šifrovania e-mailov: Od STARTTLS cez S/MIME po End-to-End

E-mail bol navrhnutý v roku 1982 bez šifrovania. O štyridsať rokov neskôr je väčšina správ šifrovaná pri prenose medzi poštovými servermi, niektoré sú šifrované v úložisku u poskytovateľov a mizivá menšina je šifrovaná od odosielateľa k príjemcovi medzi koncovými bodmi. Na rozdiele nesmierne záleží, pred čím „šifrovaný e-mail“ skutočne chráni.

Celé telo článku je uvedené v angličtine nižšie.

Šifrovanie e-mailov pokrýva niekoľko odlišných technológií, ktoré chránia obsah e-mailov pred rôznymi protivníkmi. Kategória je pomenovaná mätúco, pretože „šifrovaný e-mail“ môže v rôznych kontextoch znamenať veľmi odlišné veci.

Tri vrstvy šifrovania e-mailov

Transportné šifrovanie (STARTTLS / SMTPS). Spojenie medzi poštovými servermi je šifrované. Pozorovatelia siete nemôžu prečítať správu počas prenosu. Poskytovatelia pošty môžu.
Šifrovanie v pokoji. Poskytovateľ šifruje správy uložené na disku. Čuchanie siete je irelevantné; narušenia databázy sú zmiernené; poskytovateľ má stále kľúče.
End-to-end šifrovanie (PGP, S/MIME, šifrované služby ako ProtonMail). Správa je zašifrovaná softvérom odosielateľa a dešifrovaná softvérom príjemcu. Poštové servery vidia iba šifrový text.

Keď ľudia hovoria „šifrovaný e-mail“, často majú na mysli STARTTLS, ktorý je najslabší zo všetkých troch. Poskytovatelia pošty môžu stále čítať všetko.

STARTTLS: transportná vrstva

STARTTLS inovuje obyčajné pripojenie SMTP na TLS. Používajú ho Gmail, Outlook.com, Yahoo, ProtonMail a väčšina poskytovateľov pošty. Dva problémy:

Predvolene príležitostné. Ak prijímajúci server neponúka STARTTLS, odosielateľ sa vráti k obyčajnému textu. Útočník, ktorý môže znížiť úroveň pripojenia (StripTLS), prečíta prenos.
MTA-STS (prísne zabezpečenie prenosu pošty Agentom prenosu pošty) – publikované v RFC 8461, umožňuje doménam vyžadovať STARTTLS prostredníctvom politiky DNS. Adopcia je stabilná; hlavní poskytovatelia to ctia.

STARTTLS chráni pred pasívnymi sieťovými pozorovateľmi medzi poštovými servermi, ale nie pred samotnými poskytovateľmi.

S/MIME: firemná možnosť

S/MIME (bezpečný/viacúčelový štandard-koncový šifrovací internet 2PLZ 4PL ktorý používa certifikáty X.509 (rovnaký druh ako TLS) vydané certifikačnými autoritami. Každý užívateľ má osobný certifikát; správy sú zašifrované do certifikátu príjemcu a podpísané odosielateľským certifikátom.

S/MIME sa vo veľkej miere používa v:

Finančné služby na komunikáciu s klientom
Vládne agentúry (americké ministerstvo obrany ho intenzívne používa)
Heal compliance
Podniky s infraštruktúrou PKI

Outlook, Apple Mail a Thunderbird majú vstavanú podporu S/MIME. Trecie miesto: získavanie a správa osobných certifikátov je práca na podnikovej úrovni, nie je ústretová pre spotrebiteľov.

PGP/OpenPGP: možnosť aktivistov

OpenPGP (štandard za PGP a GnuPG) je starší, decentralizovaný end-to-end šifrovací protokol. Žiadna hierarchia CA – kľúče si vymieňajú priamo používatelia, pričom za kľúče sa voliteľne zaručuje Web of Trust. Pozrite si náš článok PGP.

PGP šifrovanie široko používajú:

Novinári a ich zdroje
Vývojári s otvoreným zdrojovým kódom, ktorí podpisujú vydania
Špecialisti na ochranu osobných údajov2
Špecialisti na bezpečnosť poskytovatelia e-mailu (ProtonMail, Tutanota, Mailfence)

Pre väčšinu bežných používateľov je PGP prevádzkovo príliš náročný na to, aby ho bolo možné neustále používať. Vylepšenia používateľskej skúsenosti v priebehu rokov (Mailvelope, FlowCrypt, automatizované zisťovanie kľúčov cez WKD) pomohli, ale nie dostatočne na to, aby sa to stalo mainstreamovým.

ProtonMail a podobné: spravované E2E

Služby ako ProtonMail, Tutanota a Mailbox.org poskytujú používateľom skryté šifrovanie medzi koncovými zariadeniami. Poskytovateľ uchováva váš zašifrovaný súkromný kľúč, dešifrovanie prebieha na strane klienta (v prehliadači alebo aplikácii) a používatelia nemusia kľúče spravovať priamo.

Trade-offs:

Šifrovanie je automatické medzi používateľmi tej istej služby
Ak má príjemca nezašifrované externé e-mailové adresy, môže ich odosielať Proton PMaGP it
Poskytovateľ môže byť teoreticky donútený, aby vytvoril váš šifrovaný blob so súkromným kľúčom a presvedčil vás, aby ste ho overili, aby ste ho dešifrovali, v závislosti od modelu hrozby

Pre používateľov, ktorí chcú silné súkromie e-mailov bez správy PGP, sú služby typu ProtonMail tou správnou odpoveďou. Pre modely s najvyššou hrozbou zostávajú kľúče PGP s automatickou správou silnejšie.

To, čo unikne dokonca aj v prípade E2E e-mailu

Metadata, je slon v miestnosti. End-to-end šifrovanie chráni telo správy. Nechráni:

Predmet. S/MIME a PGP zašifrujú telo, takže predmet bude viditeľný pre kohokoľvek s prístupom na poštový server.
Hlavičky Komu, Od, Kópia, Skrytá kópia. Kto s kým hovorí, je plne viditeľný.XPLZ1Z1XXTIM Frekvencia odosielania správ XPLZ Pri odosielaní správ XPLZ ako často, komu.
Veľkosti a názvy príloh v niektorých implementáciách.

Pre veľmi nebezpečnú komunikáciu majú moderné šifrované aplikácie na odosielanie správ (Signal, Briar) silnejšie vlastnosti metadát ako šifrované e-maily a mali by byť preferované pre väčšinu Z189PLZ1XPL používatelia

Pre bežnú korešpondenciu: Štandardný e-mail s renomovaným poskytovateľom, ktorý používa STARTTLS a šifrovanie v pokoji, je v poriadku.
Pre každodenné použitie s ohľadom na súkromie: ProtonMail, silný predvolený poskytovateľ s Tutanotou alebo podobným poskytovateľom. Šifrované v rámci siete, transparentne.
Pre citlivý obsah s vysokým podielom: Vôbec nepoužívajte e-mail. Použite Signal alebo porovnateľný end-to-end šifrovaný messenger so silnejšími vlastnosťami metadát.
Pre archívny alebo právny kontext: S/MIME alebo PGP pre nepopierateľnosť a reťazec ochrany, s výslovným pochopením prevádzkovej réžie.

Často kladené otázky

Je Gmail šifrovaný?: Pri prenose medzi poštovými servermi (STARTTLS), áno – a v pokoji v úložisku Google. V predvolenom nastavení nie je šifrované end-to-end. Servery Google vidia obsah vašej správy a pravidlá spoločnosti Google (a zákonné donútenie v USA) určujú, čo robia s touto viditeľnosťou. Pre end-to-end v Gmaile budete musieť sami pridať PGP alebo S/MIME.
Aký je rozdiel medzi ProtonMail a Gmail s PGP?: Oba môžu byť end-to-end šifrované. ProtonMail robí E2E predvoleným pre poštu v sieti a spracováva kľúče za vás. Gmail-with-PGP vyžaduje manuálnu správu kľúčov. Metadáta ProtonMailu sú o niečo lepšie chránené (šifrované riadky predmetov, šifrovanie zoznamu kontaktov atď.). Kompromisom je pohodlie verzus ovládanie.
Môže môj zamestnávateľ čítať zašifrované e-maily?: Ak používate iba šifrovanie STARTTLS, áno – poštový server vášho zamestnávateľa vidí čistý text. Ak používate S/MIME s certifikátom vydaným spoločnosťou, váš zamestnávateľ môže mať prístup ku kľúčom vydávajúcej CA. Ak používate PGP alebo ProtonMail s vlastnými kľúčmi, nie – váš zamestnávateľ vidí iba zašifrované bloby.
Je end-to-end šifrovanie všade legálne?: Vo väčšine demokracií je to legálne. Niektoré autoritárske krajiny to obmedzujú alebo zakazujú. Zákon Spojeného kráľovstva o online bezpečnosti a návrhy EÚ na kontrolu chatu vytvorili napätie; ProtonMail a podobné služby môžu v niektorých jurisdikciách čeliť obmedzeniam prístupu. V súčasnosti je používanie e-mailu E2E legálne v USA, EÚ, Spojenom kráľovstve, Kanade, Austrálii a vo väčšine krajín.
Mám použiť S/MIME alebo PGP?: S/MIME pre podnikové prostredia, kde IT oddelenie vydáva certifikáty a potrebujete interoperabilitu s Outlookom a podnikovými systémami. PGP na individuálne použitie, najmä s nepodnikovými korešpondentmi alebo tam, kde nedôverujete hierarchii CA. Nie je ľahké vzájomne spolupracovať, takže výber závisí od toho, s kým si väčšinou dopisujete.