Шифрування електронної пошти

Шифрування електронної пошти – це шифрування повідомлень електронної пошти для захисту вмісту від читання іншими особами, крім призначених одержувачів. Шифрування електронної пошти також може включати автентифікацію.

Через електронну пошту можливе розголошення інформації. Більшість листів шифруються під час передачі, але вони зберігаються у відкритому тексті, що робить їх доступними для читання третіми сторонами, такими як постачальники послуг електронної пошти. ^[1] За замовчуванням популярні служби електронної пошти, такі як Gmail і Outlook, не вмикають наскрізне шифрування. ^[2] За допомогою деяких доступних інструментів особи, крім призначених одержувачів, можуть прочитати вміст електронної пошти. ^[3]

Шифрування електронної пошти може покладатися на криптографію з відкритим ключем, за допомогою якої кожен користувач може публікувати відкритий ключ, який інші можуть використовувати для шифрування повідомлень для них, зберігаючи секретний закритий ключ, який вони можуть використовувати для розшифровки таких повідомлень або для цифрового шифрування та підписання повідомлень. відправити.

Протоколи шифрування ред.

Згідно до оригінального дизайну протоколу електронної пошти SMTP спілкування між серверами електронної пошти відбувалося у вигляді текстових даних, що становило величезний ризик для безпеки . Впродовж багатьох років були запропоновані різні механізми для шифрування зв’язку між серверами електронної пошти. Шифрування може відбуватися на транспортному рівні (він же "hop by hop") або наскрізному. Шифрування транспортного рівня часто простіше налаштувати та використовувати; наскрізне шифрування забезпечує міцніший захист, але може бути складнішим у налаштуванні та використанні.

Шифрування на транспортному рівні ред.

Одним з найбільш часто використовуваних розширень для шифрування електронної пошти є STARTTLS . Це рівень TLS (SSL) над зв’язком із відкритим текстом, що дозволяє серверам електронної пошти оновити свої зв’язки у відкритому тексті до зашифрованого зв’язку. Якщо припустити, що сервери електронної пошти як на стороні відправника, так і на стороні одержувача підтримують зашифроване спілкування, підслушник, який стежить за зв’язком між поштовими серверами, не може використовувати аналізатор трафіку, щоб побачити вміст електронної пошти. Подібні розширення STARTTLS існують для зв’язку між клієнтом електронної пошти та сервером електронної пошти (див. IMAP4 і POP3, як зазначено в RFC 2595^[4] ). STARTTLS можна використовувати незалежно від того, чи зашифровано вміст електронної пошти за допомогою іншого протоколу.

Зашифроване повідомлення розкривається і може бути змінено проміжними релеами електронної пошти. Іншими словами, шифрування відбувається між окремими ретрансляторами SMTP, а не між відправником і одержувачем. Це має як хороші, так і погані наслідки. Ключовою позитивною рисою шифрування транспортного рівня є те, що користувачам не потрібно нічого робити або змінювати; шифрування відбувається автоматично, коли вони надсилають електронну пошту. Крім того, оскільки організації-отримувачі можуть розшифрувати електронний лист без співпраці з кінцевим користувачем, організації-отримувачі можуть запускати антивірусні сканери та фільтри спаму перед доставкою електронного листа одержувачу. Однак це також означає, що організація-отримувач і будь-хто, хто проникає в систему електронної пошти цієї організації (якщо не будуть зроблені подальші кроки), можуть легко прочитати або змінити електронний лист. Якщо організація-отримувач вважається загрозою, то необхідно наскрізне шифрування.

Electronic Frontier Foundation заохочує використання STARTTLS і запустив ініціативу «STARTTLS Everywhere», щоб «зробити простим і легким для всіх, щоб допомогти забезпечити їхнє спілкування (через електронну пошту) не вразливим для масового спостереження ». ^[5] Підтримка STARTTLS стала досить поширеною; Google повідомляє, що в Gmail 90% вхідної та 90% вихідної електронної пошти було зашифровано за допомогою STARTTLS до 24 липня 2018 року ^[6]

Обов’язкова перевірка сертифікатів історично неможлива для доставки електронної пошти без додаткової інформації, оскільки багато сертифікатів не підлягають перевірці, і мало хто хоче, щоб доставка електронної пошти в цьому випадку була невдалою. ^[7] Як наслідок, більшість електронних листів, які доставляються через TLS, використовують лише опортуністичне шифрування . DANE — це запропонований стандарт, який робить можливим поетапний перехід до перевіреного шифрування для доставки пошти в Інтернеті. ^[8] У проекті STARTTLS Everywhere використовується альтернативний підхід: вони підтримують «список попереднього завантаження» серверів електронної пошти, які обіцяли підтримувати STARTTLS, що може допомогти виявити та запобігти атакам на пониження версії .

Наскрізне шифрування ред.

При наскрізному шифруванні дані шифруються та розшифровуються лише в кінцевих точках. Іншими словами, електронний лист, надісланий із наскрізним шифруванням, буде зашифрований у джерелі, нечитаним для постачальників послуг, як-от Gmail, у дорозі, а потім розшифрований на кінцевій точці. Важливо те, що електронна пошта буде розшифрована лише для кінцевого користувача на їхньому комп’ютері і залишиться в зашифрованому, нечитабельному вигляді для такого сервісу електронної пошти, як Gmail, який не матиме ключів для його розшифрування. ^[9] Деякі служби електронної пошти автоматично інтегрують наскрізне шифрування .

Відомі протоколи для наскрізного шифрування електронної пошти включають:

OpenPGP — це стандарт шифрування даних, який дозволяє кінцевим користувачам шифрувати вміст електронної пошти. Існує різноманітне програмне забезпечення та плагіни електронного клієнта, які дозволяють користувачам шифрувати повідомлення за допомогою відкритого ключа одержувача перед його відправкою. У своїй основі OpenPGP використовує схему криптографії з відкритим ключем, де кожна адреса електронної пошти пов’язана з парою відкритих/приватних ключів.

OpenPGP надає кінцевим користувачам спосіб шифрувати електронну пошту без підтримки сервера і бути впевненим, що тільки призначений одержувач може її прочитати. Однак у OpenPGP є проблеми з зручністю використання — він вимагає від користувачів налаштувати пари відкритих і закритих ключів і зробити відкриті ключі широко доступними. Крім того, він захищає лише вміст електронної пошти, а не метадані — ненадійна сторона все одно може спостерігати, хто кому надіслав електронний лист. Загальним недоліком схем наскрізного шифрування, коли сервер не має ключів дешифрування, є те, що це робить пошук на стороні сервера майже неможливим, що впливає на зручність використання.

Вміст електронного листа також можна наскрізне зашифрувати, помістивши його в зашифрований файл (за допомогою будь-якого інструменту шифрування файлів) і надіславши цей зашифрований файл як вкладення електронної пошти. ^[10]

Демонстрація ред.

Демонстрація підписаної та зашифрованої електронної пошти через Інтернет показала, що організації можуть ефективно співпрацювати, використовуючи захищену електронну пошту. Попередні перешкоди для впровадження були подолані, включаючи використання мосту PKI для забезпечення масштабованої інфраструктури відкритих ключів (PKI) і використання охоронців мережі, які перевіряють зашифрований вміст, що передається в межі корпоративної мережі та з неї, щоб уникнути використання шифрування для приховування шкідливих програм. введення та витік інформації.

Налаштування та використання шифрування електронної пошти ред.

Шифрування транспортного рівня за допомогою STARTTLS має бути налаштовано організацією-отримувачем. Це, як правило, просто; необхідно отримати дійсний сертифікат і ввімкнути STARTTLS на сервері електронної пошти організації-отримувача. Щоб запобігти атакам на пониження, організації можуть надіслати свій домен до «списку політики STARTTLS» ^[11]

Більшість повнофункціональних поштових клієнтів забезпечують вбудовану підтримку безпечної електронної пошти S/MIME ( цифрове підписання та шифрування повідомлень за допомогою сертифікатів ). Інші варіанти шифрування включають PGP і GNU Privacy Guard (GnuPG). Також доступне безкоштовне та комерційне програмне забезпечення (додаток для настільних комп’ютерів, вебпошта та доповнення). ^[12]

Хоча PGP може захищати повідомлення, його також може бути важко використовувати належним чином. У 1999 році дослідники з Університету Карнегі-Меллона опублікували роботу, в якій показано, що більшість людей не могли зрозуміти, як підписувати та шифрувати повідомлення за допомогою поточної версії PGP. ^[13] Вісім років потому інша група дослідників Carnegie Mellon опублікувала наступну роботу, в якій стверджується, що, хоча нова версія PGP спрощувала розшифровку повідомлень, більшість людей все ще боролися з шифруванням і підписанням повідомлень, знаходженням і перевіркою відкритих ключів шифрування інших людей., і надають доступ до власних ключів. ^[14]

Оскільки шифрування може бути складним для користувачів, менеджери з безпеки та відповідності в компаніях і державних установах автоматизують процес для співробітників і керівників, використовуючи пристрої та служби шифрування, які автоматизують шифрування. Замість того, щоб покладатися на добровільну співпрацю, автоматизоване шифрування, засноване на визначених політиках, бере рішення та процес з рук користувачів. Електронні листи направляються через пристрій шлюзу, налаштований для забезпечення відповідності нормативним політикам та політикам безпеки. Електронні листи, для яких це потрібно, автоматично шифруються та надсилаються. ^[15]

Якщо одержувач працює в організації, яка використовує той самий пристрій шлюзу шифрування, електронні листи автоматично розшифровуються, що робить процес прозорим для користувача. Одержувачі, які не перебувають за шлюзом шифрування, повинні зробити додатковий крок, або придбати відкритий ключ, або увійти на онлайн-портал, щоб отримати повідомлення. ^[15] ^[16]

Зашифровані постачальники послуг електронної пошти ред.

З 2000 року кількість доступних постачальників зашифрованої електронної пошти значно зросла. ^[17] Серед відомих постачальників:

Дивіться також ред.

Аутентифікація електронної пошти
Конфіденційність електронної пошти
Наскрізне шифрування
HTTPS
Ключ (криптографія)
Провайдер поштової скриньки
Безпечний обмін повідомленнями

Посилання ред.

↑ Email encryption in transit. Gmail Help. Google. Архів оригіналу за 14 лютого 2022. Процитовано 15 червня 2020.
↑ Enable hosted S/MIME for enhanced message security. GSuite Admin Help. Google. Архів оригіналу за 14 лютого 2022. Процитовано 15 червня 2020.
↑ SMEmail – A New Protocol for the Secure E-mail in Mobile Environments, Proceedings of the Australian Telecommunications Networks and Applications Conference (ATNAC'08), pp. 39–44, Adelaide, Australia, Dec. 2008.
↑ RFC 2595 - Using TLS with IMAP, POP3 and ACAP. datatracker.ietf.org. Архів оригіналу за 14 лютого 2022. Процитовано 14 лютого 2022.
↑ Announcing STARTTLS Everywhere: Securing Hop-to-Hop Email Delivery. EFF. 25 червня 2018. Архів оригіналу за 14 лютого 2022. Процитовано 14 липня 2018.
↑ Email encryption in transit. Архів оригіналу за 14 лютого 2022. Процитовано 14 лютого 2022.
↑ Postfix TLS Support. Postfix.org. Архів оригіналу за 12 травня 2015. Процитовано 16 квітня 2014.
↑ [[[:Шаблон:Cite IETF/makelink]] SMTP Security via Opportunistic DANE TLS]. Шаблон:Cite IETF/doctypes.
↑ End-to-end encryption. How To Geek. Архів оригіналу за 10 квітня 2015. Процитовано 9 квітня 2015.
↑ Secure email attachments with 7-Zip. Columbia College Information Technology, Columbia University. Архів оригіналу за 21 червня 2018. Процитовано 16 липня 2018.
↑ STARTTLS FAQ [Архівовано 25 лютого 2021 у Wayback Machine.] Retrieved 2018-07-24.
↑ Eric Geier, PCWorld. "How to Encrypt Your Email [Архівовано 13 квітня 2021 у Wayback Machine.]." April 25, 2012. Retrieved May 28, 2014.
↑ Klint Finley, WIRED. "Google's Revamped Gmail Could Take Encryption Mainstream [Архівовано 22 грудня 2021 у Wayback Machine.]." Apr 23, 2014. Retrieved June 04, 2014.
↑ In Security and Usability: Designing Secure Systems that People Can Use, eds. L. Cranor and G. Simson. O'Reilly, 2005, pp. 679-702. "Why Johnny Can’t Encrypt [Архівовано 31 жовтня 2015 у Wayback Machine.]."
↑ ^а ^б By Luis Rivera, SC Magazine. "Protecting customer privacy through email encryption [Архівовано 7 серпня 2019 у Wayback Machine.]." March 11, 2014. July 18, 2014.
↑ By Stan Gibson, SearchHealthIT.com. "." April 2010. July 22, 2014.
↑ Sparrow, Elijah; Halpin, Harry; Kaneko, Kali; Pollan, Ruben (2016). Foresti, Sara; Persiano, Giuseppe (ред.). LEAP: A Next-Generation Client VPN and Encrypted Email Provider. Cryptology and Network Security. Lecture Notes in Computer Science (англ.). Cham: Springer International Publishing: 176—191. doi:10.1007/978-3-319-48965-0_11. ISBN 978-3-319-48965-0. Архів оригіналу за 14 лютого 2022. Процитовано 14 лютого 2022.

[1] Email encryption in transit. Gmail Help. Google. Архів оригіналу за 14 лютого 2022. Процитовано 15 червня 2020.

[2] Enable hosted S/MIME for enhanced message security. GSuite Admin Help. Google. Архів оригіналу за 14 лютого 2022. Процитовано 15 червня 2020.

[3] SMEmail – A New Protocol for the Secure E-mail in Mobile Environments, Proceedings of the Australian Telecommunications Networks and Applications Conference (ATNAC'08), pp. 39–44, Adelaide, Australia, Dec. 2008.

[4] RFC 2595 - Using TLS with IMAP, POP3 and ACAP. datatracker.ietf.org. Архів оригіналу за 14 лютого 2022. Процитовано 14 лютого 2022.

[5] Announcing STARTTLS Everywhere: Securing Hop-to-Hop Email Delivery. EFF. 25 червня 2018. Архів оригіналу за 14 лютого 2022. Процитовано 14 липня 2018.

[6] Email encryption in transit. Архів оригіналу за 14 лютого 2022. Процитовано 14 лютого 2022.

[7] Postfix TLS Support. Postfix.org. Архів оригіналу за 12 травня 2015. Процитовано 16 квітня 2014.

[8] [[[:Шаблон:Cite IETF/makelink]] SMTP Security via Opportunistic DANE TLS]. Шаблон:Cite IETF/doctypes.

[9] End-to-end encryption. How To Geek. Архів оригіналу за 10 квітня 2015. Процитовано 9 квітня 2015.

[10] Secure email attachments with 7-Zip. Columbia College Information Technology, Columbia University. Архів оригіналу за 21 червня 2018. Процитовано 16 липня 2018.

[11] STARTTLS FAQ [Архівовано 25 лютого 2021 у Wayback Machine.] Retrieved 2018-07-24.

[12] Eric Geier, PCWorld. "How to Encrypt Your Email [Архівовано 13 квітня 2021 у Wayback Machine.]." April 25, 2012. Retrieved May 28, 2014.

[13] Klint Finley, WIRED. "Google's Revamped Gmail Could Take Encryption Mainstream [Архівовано 22 грудня 2021 у Wayback Machine.]." Apr 23, 2014. Retrieved June 04, 2014.

[14] In Security and Usability: Designing Secure Systems that People Can Use, eds. L. Cranor and G. Simson. O'Reilly, 2005, pp. 679-702. "Why Johnny Can’t Encrypt [Архівовано 31 жовтня 2015 у Wayback Machine.]."

[sc-magazine-15] а ^б By Luis Rivera, SC Magazine. "Protecting customer privacy through email encryption [Архівовано 7 серпня 2019 у Wayback Machine.]." March 11, 2014. July 18, 2014.

[16] By Stan Gibson, SearchHealthIT.com. "." April 2010. July 22, 2014.

[17] Sparrow, Elijah; Halpin, Harry; Kaneko, Kali; Pollan, Ruben (2016). Foresti, Sara; Persiano, Giuseppe (ред.). LEAP: A Next-Generation Client VPN and Encrypted Email Provider. Cryptology and Network Security. Lecture Notes in Computer Science (англ.). Cham: Springer International Publishing: 176—191. doi:10.1007/978-3-319-48965-0_11. ISBN 978-3-319-48965-0. Архів оригіналу за 14 лютого 2022. Процитовано 14 лютого 2022.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]