Шифрование электронной почты - Email encryption

Шифрование электронной почты является шифрование из Эл. адрес сообщения для защиты содержимого от чтения объектами, отличными от предполагаемых получателей. Шифрование электронной почты также может включать аутентификация.

Электронная почта склонна к раскрытию информации. Большинство сообщений электронной почты зашифрованы во время передачи, но хранятся в виде открытого текста, что делает их доступными для чтения третьими сторонами, например поставщиками электронной почты или рекламодателями.[1] По умолчанию популярные почтовые сервисы, такие как Gmail и Outlook, не поддерживают сквозное шифрование.[2] С помощью некоторых доступных инструментов люди, кроме назначенных получателей, могут читать содержимое электронного письма.[3]

Шифрование электронной почты может полагаться на криптографию с открытым ключом, при которой каждый пользователь может публиковать открытый ключ которые другие могут использовать для шифрования сообщений для них, сохраняя при этом в секрете частный ключ, который они могут использовать для дешифрования таких сообщений или для цифрового шифрования и подписи сообщений, которые они отправляют.

Протоколы шифрования

С оригинальным дизайном протокол электронной почты, обмен данными между почтовыми серверами осуществлялся в виде обычного текста, что создавало огромную угрозу безопасности. На протяжении многих лет были предложены различные механизмы для шифрования связи между почтовыми серверами. Шифрование может происходить на транспортном уровне (также известный как «переход за шагом») или сквозное. Шифрование транспортного уровня часто проще настроить и использовать; Сквозное шифрование обеспечивает более надежную защиту, но его сложнее настроить и использовать.

Шифрование на транспортном уровне

Одним из наиболее часто используемых расширений для шифрования электронной почты является STARTTLS . Это TLS (SSL) слой поверх открытого текста, что позволяет почтовым серверам обновлять свои простой текст связь с шифрованной связью. Предполагая, что почтовые серверы на стороне отправителя и получателя поддерживают шифрованную связь, перехватчик, отслеживающий обмен данными между почтовыми серверами, не может использовать сниффер чтобы увидеть содержимое электронного письма. Подобные расширения STARTTLS существуют для связи между почтовым клиентом и почтовым сервером (см. IMAP4 и POP3, как заявил RFC 2595 ). STARTTLS можно использовать независимо от того, зашифровано ли содержимое электронного письма с использованием другого протокола.

Зашифрованное сообщение раскрывается промежуточным ретрансляторам электронной почты и может быть изменено ими. Другими словами, шифрование происходит между отдельными SMTP-реле, а не между отправителем и получателем. Это имеет как хорошие, так и плохие последствия. Ключевой положительной чертой шифрования транспортного уровня является то, что пользователям не нужно ничего делать или изменять; шифрование происходит автоматически при отправке электронной почты. Кроме того, поскольку принимающие организации могут расшифровать электронную почту без сотрудничества с конечным пользователем, принимающие организации могут запускать антивирусные сканеры и фильтры спама перед доставкой электронной почты получателю. Однако это также означает, что принимающая организация и любой, кто взломает почтовую систему этой организации (если не будут предприняты дальнейшие шаги), могут легко прочитать или изменить электронную почту. Если принимающая организация считается угрозой, необходимо сквозное шифрование.

В Фонд электронных рубежей поощряет использование STARTTLS и выступила с инициативой «STARTTLS Everywhere», чтобы «упростить и упростить для всех обеспечение защиты их сообщений (по электронной почте) от масса наблюдения."[4] Поддержка STARTTLS стала довольно распространенной; Google сообщает, что к 24 июля 2018 года в GMail 90% входящей и 90% исходящей почты было зашифровано с помощью STARTTLS.[5]

Обязательная проверка сертификата исторически неприменима для доставки почты через Интернет без дополнительной информации, поскольку многие сертификаты не поддаются проверке, и лишь немногие хотят, чтобы в этом случае доставка электронной почты завершилась неудачно.[6] В результате большая часть электронной почты, доставляемой через TLS, использует только гибкое шифрование. ДЕЙН - это предлагаемый стандарт, который делает возможным постепенный переход к проверенному шифрованию для доставки почты в Интернете.[7] В проекте STARTTLS Everywhere используется альтернативный подход: они поддерживают «список предварительной загрузки» почтовых серверов, которые обещали поддерживать STARTTLS, что может помочь обнаружить и предотвратить атаки на более раннюю версию.

Сквозное шифрование

В сквозное шифрование данные шифруются и дешифруются только в конечных точках. Другими словами, электронное письмо, отправленное со сквозным шифрованием, будет зашифровано в источнике, нечитаемо для поставщиков услуг, таких как Gmail, в пути, а затем дешифровано на своей конечной точке. Важно отметить, что электронное письмо будет расшифровано только для конечного пользователя на его компьютере и останется в зашифрованном, нечитаемом виде для почтового сервиса, такого как Gmail, у которого не будет ключей для его расшифровки.[8] Некоторые почтовые сервисы интегрируют сквозное шифрование автоматически.

Примечательный протоколы для сквозного шифрования электронной почты включают:

OpenPGP - это стандарт шифрования данных, позволяющий конечным пользователям шифровать содержимое электронной почты. Существуют различные программы и плагины для почтовых клиентов, которые позволяют пользователям зашифровать сообщение с помощью открытого ключа получателя перед его отправкой. По своей сути OpenPGP использует Криптография с открытым ключом схема, в которой каждый адрес электронной почты связан с парой открытого / закрытого ключей.

OpenPGP позволяет конечным пользователям зашифровать электронную почту без какой-либо поддержки со стороны сервера и быть уверенным, что только предполагаемый получатель может ее прочитать. Однако у OpenPGP есть проблемы с удобством использования - он требует, чтобы пользователи установили пары открытого / закрытого ключей и сделали открытые ключи широко доступными. Кроме того, он защищает только содержимое электронного письма, а не метаданные - ненадежная сторона все еще может наблюдать, кто кому отправил электронное письмо. Общий недостаток схем сквозного шифрования, в которых сервер не имеет ключей дешифрования, заключается в том, что это делает поиск на стороне сервера практически невозможным, что снижает удобство использования.

Содержимое электронного письма также можно зашифровать из конца в конец, поместив его в зашифрованный файл (с помощью любого инструмента шифрования файлов) и отправив этот зашифрованный файл в качестве вложения к электронному письму.[9]

Демонстрации

В Подписанная и зашифрованная электронная почта через Интернет демонстрация показала, что организации могут эффективно сотрудничать, используя безопасную электронную почту. Прежние препятствия на пути внедрения были преодолены, включая использование моста PKI для обеспечения масштабируемого инфраструктура открытого ключа (PKI) и использование сетевой безопасности охранники проверка зашифрованного контента, проходящего через границы корпоративной сети, чтобы избежать использования шифрования для сокрытия внедрения вредоносных программ и утечки информации.

Настройка и использование шифрования электронной почты

Шифрование транспортного уровня с использованием STARTTLS должно быть настроено принимающей организацией. Обычно это просто; необходимо получить действительный сертификат и включить STARTTLS на почтовом сервере принимающей организации. Чтобы предотвратить атаки перехода на более раннюю версию, организации могут отправить свой домен в «Список политик STARTTLS».[10]

Большинство полнофункциональных почтовых клиентов обеспечивают встроенную поддержку S / MIME защищенная электронная почта (цифровая подпись и сообщение шифрование с помощью сертификаты ). Другие варианты шифрования включают PGP и GNU Privacy Guard (GnuPG). Также доступно бесплатное и коммерческое программное обеспечение (настольное приложение, веб-почта и надстройки).[11]

Хотя PGP может защищать сообщения, его также сложно использовать правильно. Исследователи из Университет Карнеги Меллон опубликовал в 1999 году статью, показывающую, что большинство людей не могут понять, как подписывать и шифровать сообщения с помощью текущей версии PGP.[12] Восемь лет спустя другая группа исследователей Карнеги-Меллона опубликовала следующий документ, в котором говорилось, что, хотя новая версия PGP упростила расшифровку сообщений, большинство людей по-прежнему боролись с шифрованием и подписью сообщений, поиском и проверкой открытых ключей шифрования других людей. и делятся своими ключами.[13]

Поскольку шифрование может быть трудным для пользователей, менеджеры по безопасности и соответствию в компаниях и государственных учреждениях автоматизируют этот процесс для сотрудников и руководителей с помощью устройств шифрования и сервисов, которые автоматизируют шифрование. Вместо того чтобы полагаться на добровольное сотрудничество, автоматическое шифрование, основанное на определенных политиках, выводит решение и процесс из рук пользователей. Электронная почта направляется через шлюз, настроенный для обеспечения соответствия нормативным требованиям и политикам безопасности. Электронные письма, которые требуют этого, автоматически шифруются и отправляются.[14]

Если получатель работает в организации, которая использует тот же шлюз шифрования, электронные письма автоматически расшифровываются, что делает процесс прозрачным для пользователя. Получатели, которые не находятся за шлюзом шифрования, затем должны предпринять дополнительный шаг, либо получить открытый ключ, либо войти в онлайн-портал, чтобы получить сообщение.[14][15]

Провайдеры зашифрованной электронной почты

С 2000 года количество доступных провайдеров зашифрованной электронной почты значительно увеличилось.[16] Известные поставщики включают:

Смотрите также

использованная литература

  1. ^ «Шифрование электронной почты при передаче». Справка Gmail. Google. Получено 2020-06-15.
  2. ^ "Включить размещенный S / MIME для повышения безопасности сообщений". Справка администратора GSuite. Google. Получено 2020-06-15.
  3. ^ SMEmail - новый протокол для безопасной электронной почты в мобильных средах, Труды Австралийской конференции по сетям электросвязи и приложениям (ATNAC'08), стр. 39–44, Аделаида, Австралия, декабрь 2008 г.
  4. ^ «Объявление STARTTLS повсюду: безопасность межсетевой доставки электронной почты». ЭФФ. 2018-06-25. Получено 2018-07-14.
  5. ^ «Шифрование электронной почты при передаче».
  6. ^ «Поддержка Postfix TLS». Postfix.org. Получено 2014-04-16.
  7. ^ Духовны; Хардакер (2015-10-14). Безопасность SMTP с помощью оппортунистического DANE TLS. IETF. Дои:10.17487 / RFC7672. RFC 7672.
  8. ^ «Сквозное шифрование». Как Компьютерщику. Получено 9 апреля 2015.
  9. ^ «Защитите вложения электронной почты с помощью 7-Zip». Колумбийский колледж информационных технологий, Колумбийский университет. Получено 16 июля 2018.
  10. ^ STARTTLS FAQ Проверено 24 июля 2018.
  11. ^ Эрик Гейер, PCWorld. "Как зашифровать вашу электронную почту. "25 апреля 2012 г. Проверено 28 мая 2014 г.
  12. ^ Клинт Финли, ПРОВОДНОЙ. "Обновленный Gmail от Google может стать повсеместным шифрованием. "23 апреля, 2014. Проверено 4 июня, 2014.
  13. ^ В области безопасности и удобства использования: разработка безопасных систем, которые могут использовать люди, под ред. Л. Кранор и Г. Симсон. О'Рейли, 2005, стр. 679-702. "Почему Джонни не умеет шифровать."
  14. ^ а б Луис Ривера, SC Magazine. "Защита конфиденциальности клиентов с помощью шифрования электронной почты. »11 марта 2014 г. 18 июля 2014 г.
  15. ^ Стэн Гибсон, SearchHealthIT.com. "[1]. »Апрель 2010 г. 22 июля 2014 г.
  16. ^ Воробей, Илия; Халпин, Гарри; Канеко, Кали; Поллан, Рубен (2016). Форести, Сара; Персиано, Джузеппе (ред.). «LEAP: VPN-клиент нового поколения и провайдер зашифрованной электронной почты». Криптология и сетевая безопасность. Конспект лекций по информатике. Cham: Springer International Publishing: 176–191. Дои:10.1007/978-3-319-48965-0_11. ISBN  978-3-319-48965-0.