Шифрование электронной почты

Шифрование электронной почты — это шифрование сообщений электронной почты для защиты содержимого от чтения лицами, не являющимися предполагаемыми получателями. Шифрование электронной почты может также включать аутентификацию .

Электронная почта склонна к раскрытию информации. Большинство электронных писем шифруются во время передачи, но сохраняются в виде открытого текста, что делает их доступными для чтения третьим лицам, например поставщикам услуг электронной почты . ^[1] По умолчанию популярные почтовые сервисы, такие как Gmail и Outlook, не поддерживают сквозное шифрование . ^[2] С помощью некоторых доступных инструментов другие лица, помимо назначенных получателей, могут читать содержимое электронной почты. ^[3]

Шифрование электронной почты может основываться на криптографии с открытым ключом , при которой каждый пользователь может публиковать открытый ключ , который другие могут использовать для шифрования сообщений, отправляемых им, сохраняя при этом в секрете закрытый ключ , который они могут использовать для расшифровки таких сообщений или для цифрового шифрования и подписи сообщений, которые они получают. отправлять.

Протоколы шифрования

При первоначальном дизайне протокола электронной почты связь между почтовыми серверами осуществлялась в виде обычного текста , что представляло огромную угрозу безопасности . На протяжении многих лет предлагались различные механизмы для шифрования связи между серверами электронной почты. Шифрование может происходить на транспортном уровне (так называемое «шаг за шагом») или на сквозном уровне. Шифрование транспортного уровня зачастую проще настроить и использовать; Сквозное шифрование обеспечивает более надежную защиту, но его сложнее настроить и использовать.

Шифрование транспортного уровня

Одним из наиболее часто используемых расширений шифрования электронной почты является STARTTLS . Это уровень TLS (SSL) поверх передачи открытого текста, позволяющий серверам электронной почты модернизировать свою связь с открытым текстом до зашифрованной. Если предположить, что серверы электронной почты как на стороне отправителя, так и на стороне получателя поддерживают зашифрованную связь, перехватчик, отслеживающий связь между почтовыми серверами, не сможет использовать анализатор для просмотра содержимого электронной почты. Аналогичные расширения STARTTLS существуют для связи между почтовым клиентом и почтовым сервером (см. IMAP4 и POP3 , как указано в RFC 2595). STARTTLS можно использовать независимо от того, зашифровано ли содержимое электронного письма с использованием другого протокола.

Зашифрованное сообщение раскрывается и может быть изменено с помощью промежуточных ретрансляторов электронной почты. Другими словами, шифрование происходит между отдельными SMTP- реле, а не между отправителем и получателем. Это имеет как хорошие, так и плохие последствия. Ключевой положительной чертой шифрования транспортного уровня является то, что пользователям не нужно ничего делать или изменять; шифрование происходит автоматически при отправке электронной почты. Кроме того, поскольку организации-получатели могут расшифровать электронную почту без участия конечного пользователя, организации-получатели могут запускать антивирусные сканеры и фильтры спама перед доставкой электронной почты получателю. Однако это также означает, что принимающая организация и любой, кто взламывает систему электронной почты этой организации (если не будут предприняты дальнейшие действия), смогут легко прочитать или изменить электронное письмо. Если принимающая организация считается угрозой, необходимо сквозное шифрование.

Фонд Electronic Frontier Foundation поощряет использование STARTTLS и запустил инициативу «STARTTLS Everywhere», чтобы «упростить и облегчить каждому задачу гарантировать, что его общение (по электронной почте) не будет уязвимо для массовой слежки ». ^[4] Поддержка STARTTLS стала довольно распространенной; Google сообщает, что к 24 июля 2018 года в Gmail 90% входящей и 90% исходящей электронной почты было зашифровано с помощью STARTTLS. ^[5]

Обязательная проверка сертификата исторически нецелесообразна для доставки почты через Интернет без дополнительной информации, поскольку многие сертификаты не поддаются проверке, и лишь немногие хотят, чтобы в этом случае доставка электронной почты не удалась. ^[6] В результате большая часть электронной почты, доставляемой по TLS, использует только оппортунистическое шифрование . DANE — это предлагаемый стандарт, который делает возможным поэтапный переход к проверенному шифрованию для доставки почты через Интернет. ^[7] Проект STARTTLS Everywhere использует альтернативный подход: они поддерживают «список предварительной загрузки» почтовых серверов, которые обещали поддерживать STARTTLS, что может помочь обнаружить и предотвратить атаки на понижение версии .

Сквозное шифрование

При сквозном шифровании данные шифруются и расшифровываются только в конечных точках. Другими словами, электронное письмо, отправленное с использованием сквозного шифрования, будет зашифровано в источнике, нечитаемо для поставщиков услуг, таких как Gmail, при передаче, а затем расшифровано в конечной точке. Важно отметить, что электронное письмо будет расшифровано только для конечного пользователя на его компьютере и останется в зашифрованном, нечитаемом виде для почтовой службы, такой как Gmail, у которой не будет ключей для его расшифровки. ^[8] Некоторые почтовые службы автоматически интегрируют сквозное шифрование .

Известные протоколы сквозного шифрования электронной почты включают:

• Битовое сообщение
• Защита конфиденциальности GNU (GPG)
• Довольно хорошая конфиденциальность (PGP)
• S/MIME

OpenPGP — это стандарт шифрования данных, который позволяет конечным пользователям шифровать содержимое электронной почты. Существуют различные программы и плагины для почтовых клиентов, которые позволяют пользователям шифровать сообщение с использованием открытого ключа получателя перед его отправкой. По своей сути OpenPGP использует схему криптографии с открытым ключом , где каждый адрес электронной почты связан с парой открытого/закрытого ключей.

OpenPGP предоставляет конечным пользователям возможность зашифровать электронную почту без какой-либо поддержки со стороны сервера и быть уверенным, что только предполагаемый получатель сможет ее прочитать. Однако у OpenPGP есть проблемы с удобством использования: он требует, чтобы пользователи настроили пары открытого/закрытого ключей и сделали открытые ключи широко доступными. Кроме того, он защищает только содержимое электронного письма, а не метаданные — ненадежная сторона все равно может отслеживать, кто кому отправил электронное письмо. Общим недостатком схем сквозного шифрования, когда у сервера нет ключей дешифрования, является то, что это делает поиск на стороне сервера практически невозможным, что влияет на удобство использования.

Содержимое электронного письма также можно зашифровать, поместив его в зашифрованный файл (используя любой инструмент шифрования файлов ^[9] ) и отправив этот зашифрованный файл в качестве вложения к электронному письму. ^[10]

Демонстрации

Демонстрация подписанной и зашифрованной электронной почты через Интернет показала, что организации могут эффективно сотрудничать, используя безопасную электронную почту. Предыдущие препятствия на пути внедрения были преодолены, в том числе использование моста PKI для обеспечения масштабируемой инфраструктуры открытых ключей (PKI) и использование средств сетевой безопасности , проверяющих зашифрованный контент, проходящий внутри и снаружи границ корпоративной сети, чтобы избежать использования шифрования для сокрытия вредоносного ПО. внедрение и утечка информации.

Настройка и использование шифрования электронной почты

Шифрование транспортного уровня с использованием STARTTLS должно быть настроено принимающей организацией. Обычно это просто; необходимо получить действительный сертификат и включить STARTTLS на почтовом сервере принимающей организации. Чтобы предотвратить атаки на понижение версии, организации могут отправить свой домен в «Список политик STARTTLS» ^[11].

Большинство полнофункциональных почтовых клиентов обеспечивают встроенную поддержку безопасной электронной почты S/MIME ( цифровая подпись и шифрование сообщений с использованием сертификатов ). Другие варианты шифрования включают PGP и GNU Privacy Guard (GnuPG). Также доступно бесплатное и коммерческое программное обеспечение (приложение для ПК, веб-почта и дополнения). ^[12]

Хотя PGP может защитить сообщения, его также может быть сложно использовать правильно. Исследователи из Университета Карнеги-Меллон опубликовали в 1999 году статью, в которой показано, что большинство людей не могут понять, как подписывать и шифровать сообщения с помощью текущей версии PGP. ^[13] Восемь лет спустя другая группа исследователей из Университета Карнеги-Меллон опубликовала дополнительную статью, в которой говорилось, что, хотя более новая версия PGP облегчила расшифровку сообщений, большинству людей по-прежнему сложно шифровать и подписывать сообщения, находить и проверять чужие сообщения. общедоступные ключи шифрования и совместное использование собственных ключей. ^[14]

Поскольку шифрование может быть трудным для пользователей, менеджеры по безопасности и обеспечению соответствия требованиям в компаниях и государственных учреждениях автоматизируют этот процесс для сотрудников и руководителей, используя устройства и службы шифрования, которые автоматизируют шифрование. Вместо того, чтобы полагаться на добровольное сотрудничество, автоматическое шифрование, основанное на определенных политиках, берет решение и процесс из рук пользователей. Электронная почта маршрутизируется через шлюзовое устройство, настроенное для обеспечения соответствия нормативным требованиям и политикам безопасности. Сообщения электронной почты, требующие этого, автоматически шифруются и отправляются. ^[15]

Если получатель работает в организации, которая использует тот же шлюз шифрования, электронные письма автоматически расшифровываются, что делает процесс прозрачным для пользователя. Получателям, которые не пользуются шлюзом шифрования, необходимо предпринять дополнительный шаг: либо получить открытый ключ, либо войти на онлайн-портал для получения сообщения. ^{[15] [16]}

Поставщики зашифрованной электронной почты

С 2000 года количество доступных провайдеров зашифрованной электронной почты значительно увеличилось. ^[17]

Смотрите также

• Аутентификация по электронной почте
• Конфиденциальность электронной почты
• Сквозное шифрование
• HTTPS
• Ключ (криптография)
• Поставщик почтовых ящиков
• Безопасный обмен сообщениями

Рекомендации

1. «Шифрование электронной почты при передаче» . Справка Gmail . Гугл Инк . Проверено 15 июня 2020 г.
2. «Включите размещенный S/MIME для повышения безопасности сообщений» . Справка администратора G Suite . Гугл Инк . Проверено 15 июня 2020 г.
3. SMEmail - Новый протокол для безопасной электронной почты в мобильных средах, Материалы Австралийской конференции по телекоммуникационным сетям и приложениям (ATNAC'08), стр. 39–44, Аделаида, Австралия, декабрь 2008 г.
4. «Объявление о STARTTLS повсюду: обеспечение сквозной доставки электронной почты» . ЭФФ. 25 июня 2018 г. Проверено 14 июля 2018 г.
5. «Шифрование электронной почты при передаче» .
6. «Поддержка Postfix TLS» . Postfix.org . Проверено 16 апреля 2014 г.
7. Духовный; Хардакер (14 октября 2015 г.). Безопасность SMTP через оппортунистический TLS DANE. IETF . дои : 10.17487/RFC7672 . РФК 7672.
8. «Сквозное шифрование». Как компьютерщику . Проверено 9 апреля 2015 г.
9. Митчелл, Пол (16 января 2022 г.). «Отправка зашифрованных писем с помощью PGP». Специальная библиотека конфиденциальности .
10. «Защитите вложения электронной почты с помощью 7-Zip» . Колумбийский колледж информационных технологий, Колумбийский университет . Проверено 16 июля 2018 г.
11. Часто задаваемые вопросы по STARTTLS Проверено 24 июля 2018 г.
12. Эрик Гейер, PCWorld. «Как зашифровать электронную почту». 25 апреля 2012 г. Проверено 28 мая 2014 г.
13. Клинт Финли, WIRED. «Обновленный Gmail от Google может сделать шифрование массовым явлением». 23 апреля 2014 г. Проверено 4 июня 2014 г.
14. В книге «Безопасность и удобство использования: разработка безопасных систем, которые люди могут использовать», ред. Л. Кранор и Г. Симсон. О'Рейли, 2005, стр. 679–702. «Почему Джонни не может шифровать».
15. Луис Ривера, журнал SC. «Защита конфиденциальности клиентов посредством шифрования электронной почты». 11 марта 2014 г. 18 июля 2014 г.
16. Гибсон, Стэн (22 июля 2014 г.). «Безопасность медицинских данных теперь определяется тонкими клиентами с шифрованием». ПоискЗдоровьеИТ .
17. Воробей, Элайджа; Халпин, Гарри; Канеко, Кали; Поллан, Рубен (2016). Форести, Сара; Персиано, Джузеппе (ред.). «LEAP: клиент VPN нового поколения и поставщик зашифрованной электронной почты». Криптология и сетевая безопасность . Конспекты лекций по информатике. 10052 . Чам: Springer International Publishing: 176–191. дои : 10.1007/978-3-319-48965-0_11. ISBN 978-3-319-48965-0.