Meniul
AcasăTehnică

Criptare e-mail: computere. Protecția e-mailului corporativ

28 octombrie 2013 la 16:41

Cum să criptați mesajele prin e-mail și acest lucru îl va face „mai sigur”

  • Securitatea informațiilor
Informațiile trimise prin e-mail sunt sigure?
Răspunsul sincer la această întrebare ar fi: „Da. Dar nu". Când vizitați majoritatea site-urilor web, HTTP este afișat în bara de adrese. Aceasta este o conexiune nesigură. Dacă vă conectați la contul unuia dintre cele mai importante servicii de e-mail, veți vedea deja HTTPS. Aceasta indică utilizarea protocoalelor de criptare SSL și TLS, care asigură „călătoria” securizată a unei scrisori din fereastra browserului către serverul de e-mail. Cu toate acestea, aceasta nu dă nimic în legătură cu, care intră în vigoare la 1 iulie 2014. În plus, absolut nimic nu vă protejează corespondența de un angajat fără scrupule al unei companii de servicii poștale, atacuri de hackeri, o sesiune neînchisă pe computerul altcuiva, un punct Wi-Fi neprotejat, precum și orice cerință a serviciilor speciale - deja acum - și chiar serviciul poștal însuși, în conformitate cu propria lor politică de confidențialitate.


Toate scrisorile care sosesc, pleacă sau stocate pe serverul serviciului de corespondență sunt la dispoziția completă a companiei căreia îi aparține (serverul). Asigurând securitatea în timpul transferului propriu-zis, compania poate face ce vrea cu mesajele, întrucât, în esență, primește scrisorile pe care le are la dispoziție. Prin urmare, nu puteți decât să sperați la integritatea conducerii și a angajaților acesteia (companii) și, de asemenea, la faptul că este puțin probabil să interesați serios pe cineva.

Atunci când utilizați corespondența corporativă, corespondența este protejată de serviciul IT, care poate instala un Firewall foarte strict. Și, cu toate acestea, acest lucru nu vă va salva dacă un angajat fără scrupule „scurge” informațiile. Nu vorbim neapărat despre un administrator de sistem - un atacator trebuie doar să fie „în interiorul” rețelei corporative: dacă vorbește serios, restul este o chestiune de tehnică.
Să criptăm
Criptarea textului scrisorii și a atașamentelor poate crește oarecum nivelul de protecție fără greșeală a e-mailului dvs. (pot fi plasate și într-o arhivă cu o parolă, de exemplu, dacă textul în sine nu conține date confidențiale, dar arhiva conține) . În acest caz, puteți utiliza un software special.

Corpul scrisorii în sine poate fi criptat cu un program criptografic terță parte, permiteți-mi să repet acest lucru puțin în felul meu. Cel mai popular serviciu pentru care a fost creat special un program de criptare este Gmail. Extensia SecureGmail este instalată în Google Chrome, care acceptă această criptare, după care totul este destul de simplu - introduceți o parolă pentru mesajul criptat și o întrebare indiciu pentru a-l recupera. Singurul dezavantaj este că este limitat la utilizare numai pentru GoogleChrome.

Există un codificator care este potrivit pentru aproape orice e-mail online, de exemplu, mail.ru, yandex.ru, Gmail.com - pentru toate serviciile de e-mail pe care le puteți deschide într-o fereastră de browser Mozilla. Aceasta este o extensie a comunicării criptate. Principiul de funcționare este același cu cel al SecureGmail: după ce ați scris un mesaj, selectați-l cu mouse-ul, apoi faceți clic dreapta și selectați „criptare folosind Comunicarea criptată”. Apoi, introduceți și confirmați o parolă cunoscută de dvs. și de destinatar. Desigur, ambii acești clienți trebuie să fie instalați atât pe destinatar, cât și pe expeditor, iar ambele persoane trebuie să cunoască parola. (Este de remarcat faptul că ar fi nesăbuit să trimiteți parola prin același e-mail.)

Pe lângă pluginurile pentru browserul în care deschizi mail, există o aplicație pentru clienți desktop care poate fi folosită și cu servicii de poștă online - PGP (Pretty Good Privacy). Metoda este bună pentru că folosește două chei de criptare - publică și privată. De asemenea, puteți utiliza o serie de programe atât pentru a cripta datele, cât și pentru a cripta textul unei scrisori: DriveCrypt, Gpg4win, Gpg4usb, Comodo SecureEmail și altele.

Din păcate, tehnologia avansată de criptare, oricât de ușor de utilizat și de frumoasă ar fi, nu va ajuta dacă, de exemplu, pe computer este instalată o ușă din spate, care face capturi de ecran și le trimite în rețea. Prin urmare, cel mai bun mod de a cripta este să nu scrieți scrisori. Motto-ul „Trebuie să ne întâlnim mai des” capătă un nou sens în acest context.
Minimizăm riscurile
După cum sa menționat mai sus, metoda ideală de criptare este să nu scrieți scrisori. Cel mai adesea, nu ar trebui să utilizați servicii de e-mail gratuite pentru corespondența profesională, mai ales dacă ați semnat un acord de confidențialitate. Faptul este că, dacă mesajele dvs. sunt interceptate din e-mailul corporativ, departamentul IT al companiei se va ocupa de decalajul de securitate. În caz contrar, ești personal responsabil. Rețineți: atunci când utilizați corespondența „externă”, corespondența va ajunge cu siguranță la terți, cel puțin la angajații companiei care furnizează serviciul poștal. Și nu au semnat un acord de confidențialitate cu angajatorul dvs.
Dacă sunteți o persoană importantă într-o companie, nu trimiteți documente cheie prin canale deschise sau nu folosiți deloc e-mailul pentru a le transmite, ci pentru serviciu, folosiți corespondența corporativă și nu trimiteți scrisori importante la adresele de corespondență gratuită Servicii.

În toate celelalte cazuri, de exemplu, la încheierea contractelor, este util să folosiți poșta, deoarece mesajul electronic conține faptele acordurilor dvs. de muncă și vă poate ajuta pe viitor. Amintiți-vă că cele mai multe scurgeri de informații nu se datorează vinei hackerilor, ci „factorului uman”. Poate fi suficient să utilizați parole complexe, să le schimbați în mod regulat și să preveniți pierderea lor. Ar trebui să vă amintiți să vă închideți sesiunile pe computerele altor persoane, să nu utilizați conexiuni nesecurizate atunci când lucrați prin Wi-Fi în locuri publice, să bifați casetele din setările căsuței poștale „reține adresa mea IP”, „urmăriți adresele IP de la care au fost deschise sesiunile ”, „nu permiteți sesiuni paralele.” Și, de asemenea, nu creați întrebări și răspunsuri simple pentru a vă recupera parola și nu vă pierdeți telefonul mobil dacă contul dvs. este conectat la acesta.

Acest articol descrie cum să configurați Thunderbird să semneze, să cripteze și să decripteze digital mesajele pentru a vă face comunicațiile mai sigure.

Introducere

Când a fost proiectată infrastructura de e-mail pe care o folosim cu toții, securitatea nu a fost integrată în ea. În timp ce majoritatea oamenilor se conectează la serverele de e-mail folosind o conexiune securizată ("SSL"), unele servere permit acces nesecurizat. Mai mult, pe măsură ce un mesaj călătorește de-a lungul lanțului de la expeditor la destinatar, conexiunea dintre fiecare server nu este neapărat sigură. Acest lucru permite unei terțe părți să intercepteze, să citească și să falsifice mesajele de e-mail în timp ce acestea sunt în tranzit.

Când semnați digital un mesaj, încorporați informații care vă verifică identitatea în mesaj. Când criptați un mesaj, înseamnă că acesta va apărea „complicat” și poate fi citit doar de persoana care are cheia pentru a decripta mesajul. Semnarea digitală a unui mesaj asigură că mesajul a venit de la expeditorul declarat. Criptarea asigură că mesajul nu va fi citit sau modificat în timpul transmiterii.

Pentru a cripta un mesaj, puteți utiliza un sistem criptografic cu cheie publică. Într-un astfel de sistem, fiecare participant are două chei separate: cheie publicăȘi cheie privată. Când cineva dorește să vă trimită un mesaj criptat, el sau ea folosește cheia dvs. publică pentru a genera un algoritm de criptare. Când primiți un mesaj, trebuie să utilizați cheia privată pentru a-l decripta.

Important: Nu oferi niciodată nimănui cheia ta privată.

Protocolul folosit pentru criptarea e-mailului se numește PGP (Pretty Good Privacy). Pentru a utiliza PGP în Thunderbird, trebuie mai întâi să instalați:

  • GnuPG: (GNU Privacy Guard): o implementare gratuită a PGP
  • Enigmail: supliment pentru Thunderbird

Ambele aplicații oferă, de asemenea, capacitatea de a semna digital mesajele.

Instalarea GPG și Enigmail

Pentru a instala GnuPG, descărcați pachetul corespunzător pentru platforma dvs. de pe pagina de descărcare GnuPG. Urmați instrucțiunile instalatorului. Pentru mai multe informații despre instalarea PGP pe un anumit sistem de operare, citiți:

Pentru a instala Enigmail:

  1. În Thunderbird, selectați Instrumente > Suplimente.
  2. Utilizați bara de căutare din colțul din dreapta sus pentru a căuta Enigmail.
  3. Selectați Enigmail din lista cu rezultatele căutării și urmați instrucțiunile pentru a instala suplimentul.

Crearea cheilor PGP

Creați o pereche de chei publice/private ca aceasta:

Trimiterea și primirea cheilor publice

Trimiterea cheii publice prin e-mail

Pentru a primi mesaje criptate de la alte persoane, mai întâi trebuie să le trimiteți cheia dvs. publică:

Primiți o cheie publică prin e-mail

Pentru a trimite mesaje criptate altor persoane, trebuie să obțineți și să stocați cheile lor publice:

Trimiterea de e-mailuri semnate și/sau criptate

Notă: Subiectul mesajului nu va fi criptat.

Citirea e-mailului semnat și/sau criptat

Când primiți un mesaj criptat, Thunderbird vă va cere să introduceți parola secretă pentru a decripta mesajul. Pentru a determina dacă un mesaj primit a fost sau nu semnat sau criptat, trebuie să vă uitați la bara de informații de deasupra corpului mesajului.

Dacă Thunderbird recunoaște semnătura, deasupra mesajului va apărea o bară verde (așa cum se arată mai jos).

Dacă mesajul a fost criptat și semnat, textul „Mesaj decriptat” va apărea și în panoul verde.

Dacă mesajul a fost criptat, dar nu a fost semnat, va apărea panoul prezentat în figura de mai jos.

Serviciile criptografice pentru e-mail au fost dezvoltate cu mult timp în urmă, dar chiar și la 25 de ani de la apariția PGP, acestea nu sunt deosebit de solicitate. Motivul este că se bazează pe o infrastructură de mesagerie învechită, sunt forțați să folosească un mediu neîncrezător (inclusiv un set aleatoriu de servere de e-mail), au o compatibilitate limitată, un număr tot mai mare de defecte cunoscute și sunt pur și simplu complexe pentru utilizatorul obișnuit. Poți înțelege cu ușurință complexitățile criptografiei, dar șeful tău mereu ocupat se va încurca într-o zi în două chei și o va încărca pe cea secretă pe server, arzând imediat toată corespondența. Desigur, vei fi învinuit.

Însuși conceptul de criptare a e-mailului este împărțit în multe sarcini aplicate, dintre care se pot distinge două principale: protecția împotriva privirilor indiscrete a scrisorilor deja primite și pregătite pentru trimitere (baza de date de corespondență) și protecția scrisorilor direct în timpul transmiterii lor - de la divulgare sau modificarea textului atunci când este interceptat .

Cu alte cuvinte, protecția prin corespondență criptografică combină metode de contracarare a accesului neautorizat și a atacurilor de tip man-in-the-middle, care au soluții fundamental diferite. Din păcate, sunt adesea confuzi și se încearcă folosirea unor metode nepotrivite. Vă ofer o scurtă poveste despre două personaje criptografice celebre, care ar trebui să pună totul la locul său și să demonstreze clar problemele cu criptarea mailului. După cum se spune, nu există poveste mai secretă pentru mormânt decât povestea despre Alice și Bob!

În două clicuri, Bob îl criptează cu o cheie cunoscută de Alice. El speră că a introdus-o corect din memorie când a configurat CryptoData pe un computer public. În caz contrar, mesajul important va rămâne un amestec de caractere pe care le-a lipit în corpul scrisorii, copiate din fereastra CryptoData.

Alice primește o scrisoare ciudată, vede în ea începutul familiar al lui S3CRYPT și înțelege că trebuie să folosească CryptoData cu cheia pe care a schimbat-o cândva cu Bob. Dar s-au întâmplat multe de atunci și s-ar putea să nu-și amintească care era cheia aceea.

Încercați să descifrați scrisoarea

Dacă Alice realizează minunile mnemonice și totuși introduce cheia corectă, mesajul de la Bob va lua o formă lizibilă.

Scrisoarea a fost decriptată

Cu toate acestea, memoria fetei este departe de EEPROM, așa că Bob primește un răspuns neașteptat.

Desigur, Bob știe să folosească PGP. Dar ultima dată când a făcut asta a fost în clientul de e-mail The Bat, care a fost instalat pe un laptop explodat. Cum se verifică cheia trimisă? Dacă Alice este torturată chiar acum, iar ei îi răspund de la adresa ei și încearcă să-i afle secretele? Prin urmare, Bob cere garanții suplimentare privind autenticitatea cheii. De exemplu, îi poți cere lui Jack să verifice și să semneze.

Rețeaua de încredere PGP

Alice reacționează puțin ciudat. Ea dă vestea dispariției subite a lui Jack și oferă o metodă alternativă de verificare. Cu toate acestea, nu foarte de încredere. Cea mai simplă semnătură digitală S/MIME va confirma doar adresa expeditorului, dar nu și identitatea acestuia. Prin urmare, Bob recurge la un truc: el cere să confirme cheia printr-un alt canal de comunicare, verificând în același timp secretul împărtășit cu Alice, pe care numai ei îl cunoșteau.

Folosind o amprentă cheie și un secret partajat

După ceva timp, el primește un SMS cu imprimarea corectă a cheii și o nouă scrisoare de la Alice.

Amprenta cheie și răspuns la întrebarea de securitate

Scrisoarea pare convingătoare, amprenta cheii se potrivește, dar Bob este o mizerie. După ce a citit răspunsul la întrebarea secretă, își dă seama că nu vorbește cu Alice.

Ultimul mesaj al lui Bob către pseudo Alice

GEOMETRIE DE CRIPTARE

În această poveste, Alice și Bob încercau să folosească două tipuri fundamental diferite de securitate criptografică. CryptoData folosește aceeași cheie pentru criptarea și decriptarea AES. Prin urmare, un astfel de sistem cripto se numește simetric.

Spre deosebire de AES-CTR, PGP folosește o pereche de chei diferite, dar legate matematic. Acesta este un sistem asimetric, proiectat pe principiul unei încuietori cu zăvor: oricine poate trânti ușa (cripta un mesaj), dar numai proprietarul cheii o poate deschide (descifra textul).

În sistemele simetrice, este mai ușor să se obțină o putere criptografică ridicată cu o lungime relativ scurtă a cheii, dar pentru a conduce corespondența criptată, această cheie trebuie mai întâi să fie transmisă interlocutorului printr-un canal de încredere. Dacă cheia devine cunoscută persoanelor din afară, atunci toată corespondența interceptată anterior va fi dezvăluită. Prin urmare, criptarea simetrică este utilizată în primul rând pentru protecția locală a bazelor de date de e-mail, dar nu pentru redirecționarea e-mailurilor.

Sistemele asimetrice rezolvă în mod specific problema transmiterii unei chei printr-un mediu neîncrezător folosind o pereche de chei. Cheia publică este folosită pentru a cripta mesajele trimise unui anumit destinatar și pentru a verifica semnătura criptografică în scrisorile primite de la acesta. Secret - pentru decriptarea scrisorii primite și semnarea celei trimise. Atunci când organizează o corespondență securizată, interlocutorii trebuie doar să-și schimbe cheile publice, iar interceptarea lor (aproape) nu va afecta nimic. Prin urmare, un astfel de sistem este numit și criptare cu cheie publică. Suportul PGP a fost implementat în clienții de e-mail de mult timp, dar atunci când utilizați e-mailul printr-o interfață web, vor fi necesare suplimente de browser.

Am ales CryptoData ca exemplu, deoarece dintre toate extensiile cunoscute la momentul scrierii, doar acesta avea un statut actualizat și un forum live în limba rusă. Apropo, folosind CryptoData nu numai că puteți cripta e-mailurile, ci și stoca note locale sub protecție AES și chiar puteți crea și vizualiza site-uri web criptate.

CryptoData este disponibil pentru browserul Firefox ca supliment. De asemenea, acceptă clienții de e-mail Thunderbird și SeaMonkey. Textul este criptat folosind algoritmul AES. În ciuda naturii sale blocate, în modul counter (CTR) implementează criptarea fluxului.

Avantajele CryptoData includ implementarea binecunoscută a AES-CTR prin JavaScript. Principalul dezavantaj al CryptoData (precum și al oricărui sistem simetric) este că este imposibil să faceți schimb de chei în siguranță.

Când utilizați CryptoData în e-mail, pe lângă textul criptat, trebuie să transferați cumva cheia pentru a o decripta. Este extrem de dificil să faceți acest lucru în siguranță pe Internet. Este necesar să creați un canal de încredere și, în mod ideal, să organizați o întâlnire personală. Prin urmare, nu va fi posibil să schimbați des cheile. Dacă cheia este compromisă, ea dezvăluie toată corespondența criptată interceptată anterior.

Un dezavantaj mai puțin semnificativ este începutul recunoscut al tuturor textelor criptate. După începutul standard „S3CRYPT:BEGIN”, algoritmul utilizat și modul de criptare (AESCTR sau RC4) sunt indicate în text clar. Acest lucru facilitează interceptarea selectivă a mesajelor criptate (de obicei, toate cele mai importante lucruri sunt scrise în ele) și spargerea lor.

CryptFire, Encrypted Communication și multe alte extensii au funcționat similar cu CryptoData.

Pentru confortul schimbului de chei publice și al confirmării acestora, sunt create depozite specializate. Pe astfel de servere cu chei publice este mai ușor să-l găsiți pe cel care este relevant pentru utilizatorul dorit. În același timp, nu este nevoie să vă înregistrați pe resurse dubioase și riscați să vă expuneți cheia secretă.

DE LA ALGORITMI LA STANDARDELE DE CRIPTARE POSTA

Pentru a lucra cu corespondența criptată, interlocutorii trebuie să folosească aceleași metode criptografice. Prin urmare, orice protecție prin e-mail la nivel de aplicație sau serviciu utilizează un fel de sistem criptografic în cadrul unui standard de criptare general acceptat. De exemplu, clientul Thunderbird acceptă fork-ul GnuPG prin addon-ul Enigmail ca implementare deschisă a criptosistemului PGP conform standardului OpenPGP.

La rândul lor, PGP și orice alt sistem criptografic se bazează pe mai mulți algoritmi de criptare care sunt utilizați în diferite etape de funcționare. RSA rămâne cel mai comun algoritm de criptare asimetrică. Este, de asemenea, folosit în criptosistemul original PGP de Philipp Zimmermann. Utilizează RSA pentru a cripta un hash MD5 de 128 de biți și o cheie IDEA de 128 de biți.

Diverse furci PGP (de exemplu, GnuPG) au propriile lor diferențe algoritmice. Dar dacă criptosistemele îndeplinesc cerințele standardului comun OpenPGP, atunci rămân compatibile între ele. Interlocutorii pot conduce corespondență securizată folosind diferite versiuni de programe criptografice, inclusiv cele concepute pentru diferite platforme. Prin urmare, o scrisoare criptată PGP compusă în Thunderbird pentru Linux poate fi citită în The Bat pentru Windows și chiar printr-un browser cu suport OpenPGP la nivel de supliment.

CRIPTAREA POSTALELOR FOLOSIND OPENPGP

OpenPGP a fost propus în 1997, dar dezvoltarea standardului a fost dificilă din cauza soartei algoritmului PGP în sine. Drepturile asupra acesteia au fost transferate succesiv de la Zimmermann și PGP Inc. către Network Associates (McAfee), PGP Corporation și Symantec. Fiecare dintre noii deținători de drepturi de autor a schimbat implementarea finală a algoritmului. Este posibil ca McAfee și Symantec să-și fi slăbit puterea criptografică la cererea autorităților. De exemplu, prin reducerea calității generatorului de numere pseudoaleatoare, a lungimii efective a tastei sau chiar prin introducerea de marcaje software.

Prin urmare, în 1999, a apărut o implementare open source a GnuPG. Se crede că FSF este în spatele lui, dar de fapt GnuPG a fost dezvoltat de o singură persoană - programatorul german Werner Koch, care a fost odată impresionat de discursul lui Stallman și a decis să facă „un PGP corect și deschis”. Mai târziu, a intenționat în mod repetat să renunțe la sprijinul pentru GnuPG, dar într-un moment decisiv a găsit noi stimulente pentru a-l continua.

Koch are acum 53 de ani, șomer și în pragul sărăciei de multe ori înainte de a reuși să strângă peste 300.000 de dolari prin diferite campanii de crowdfunding. A primit bani de la Fundația Linux și de la utilizatori obișnuiți și a primit granturi de la Facebook și Stripe - pur și simplu pentru că soarta GPGTools, Enigmail, Gpg4win și a multor alte proiecte populare din lumea open source depinde în întregime de dorința lui de a continua dezvoltarea. de GnuPG.

Cu o fundație atât de șocantă, standardul OpenPGP are încă puncte slabe cunoscute. Era mai ușor să le declarați „nu bug-uri, ci caracteristici” decât să le eliminați. De exemplu, are o singură modalitate de a verifica expeditorul unui mesaj criptat - o semnătură criptografică. Cu toate acestea, oricine o poate verifica cu cheia publică a expeditorului (de aceea am folosit clauza „aproape” pentru a indica siguranța interceptării cheii publice). În consecință, semnătura, pe lângă autentificare, asigură și nerepudierea nu întotdeauna necesară a mesajului.

Ce înseamnă asta în practică? Imaginați-vă că i-ați trimis lui Assange încă o bucată de date interesante despre oficialii de vârf ai unei țări puternic democratice. Scrisoarea a fost interceptată, s-a aflat IP-ul și au venit după tine. Chiar și fără a dezvălui conținutul scrisorii criptate, ai atras atenția prin însuși faptul că ai corespondență cu o persoană care a fost urmărită de mult timp. Nu se va mai putea referi la falsificarea unei scrisori sau la mașinațiunile unui vierme de corespondență - mesajul a fost semnat cu cheia ta secretă. Fără aceeași semnătură, Assange nu va citi mesajul, considerându-l un fals sau o provocare. Se dovedește a fi un cerc vicios: semnăturile criptografice fac imposibilă negarea dreptului de autor al scrisorilor către terți, iar fără semnături interlocutorii înșiși nu vor putea garanta autenticitatea mesajelor unul altuia.

Un alt dezavantaj al PGP este că mesajele criptate au un aspect foarte ușor de recunoscut, așa că însuși faptul de a schimba astfel de scrisori îi face deja pe interlocutori potențial interesanți pentru serviciile de informații. Sunt ușor de detectat în traficul de rețea, iar standardul OpenPGP nu permite ascunderea nici a expeditorului, nici a destinatarului. În aceste scopuri, împreună cu PGP, încearcă să folosească steganografia ca straturi suplimentare de protecție, dar rutarea ceapă și metodele de ascundere a fișierelor de un format în altul sunt pline de propriile lor probleme nerezolvate. În plus, sistemul se dovedește a fi prea complex, ceea ce înseamnă că nici nu va fi popular și va rămâne vulnerabil la erorile umane.

În plus, PGP nu are o proprietate de secretizare predeterminată, iar cheile au de obicei date de expirare lungi (de obicei un an sau mai mult) și sunt modificate rar. Prin urmare, dacă cheia secretă este compromisă, aceasta poate decripta partea leului din corespondența interceptată anterior. Acest lucru se întâmplă, printre altele, deoarece PGP nu protejează împotriva erorilor umane și nu împiedică un răspuns text clar la un mesaj criptat (chiar și cu un citat). Având un mesaj criptat, un text decriptat și o cheie publică, este mult mai ușor să calculezi cel secret asociat cu acesta.

S/MIME

Dacă OpenPGP are atât de multe deficiențe fundamentale, există o alternativă? Da și nu. În paralel, sunt dezvoltate și alte standarde de criptare a corespondenței, inclusiv cele care utilizează o cheie publică. Dar deocamdată elimină unele neajunsuri în detrimentul altora. Un exemplu izbitor în acest sens este S/MIME (Secure/Multipurpose Internet Mail Extensions). De la a doua versiune, care a apărut în 1998, S/MIME a devenit un standard general acceptat. Popularitatea sa reală a venit un an mai târziu, când a treia versiune de S/MIME a început să fie susținută de programe de e-mail precum Microsoft Outlook (Express) și Exchange.

S/MIME simplifică sarcina de distribuire a cheilor publice într-un mediu care nu are încredere, deoarece containerul pentru cheia publică este un certificat digital, care are de obicei una sau mai multe semnături digitale. Cu mâna grea a Microsoft, conceptul modern de criptare cu cheie publică este adesea implementat prin certificate digitale și lanțuri de încredere. Certificatele sunt emise unei anumite entitati și conțin cheia publică a acestora. Autenticitatea certificatului în sine este garantată (de obicei pentru bani) de emitentul său - adică organizația emitentă, care este inițial de încredere de către toți participanții la corespondență. De exemplu, ar putea fi Thawte, VeriSign, Comodo sau o altă companie mare. Cel mai simplu certificat care confirmă doar adresa ta de e-mail poate fi obținut gratuit.

În teorie, un certificat digital rezolvă două probleme simultan: facilitează găsirea cheii publice a utilizatorului dorit și verificarea autenticității acesteia. Cu toate acestea, în practică, există încă vulnerabilități serioase în mecanismul de certificat de încredere și standardul S/MIME care fac posibile vectori de atac suplimentari dincolo de cei relevanți pentru OpenPGP. Astfel, în 2011, a fost efectuat un atac asupra autorităților de certificare DigiNotar și Comodo, în urma căruia au fost emise sute de certificate false în numele celor mai populare noduri de rețea: addons.mozilla.com, login.skype.com, login.yahoo.com, mail google.com și altele. Ulterior, acestea au fost utilizate în diferite scenarii de atac, inclusiv MITM, trimiterea de e-mailuri de phishing și distribuirea de programe malware semnate cu certificate de la companii cunoscute.

CRIPTARE WEB MAIL ȘI CLIENȚI MOBILI

Din ce în ce mai mulți oameni abandonează clienții de e-mail desktop, preferând să lucreze cu e-mailul prin interfața web sau aplicațiile mobile. Acesta este un schimbător complet de joc. Pe de o parte, cu o conexiune web, criptarea conexiunii este deja furnizată prin HTTPS. Pe de altă parte, utilizatorul nu are control asupra bazei de date de e-mail de pe server și a metodelor de transmitere a scrisorilor de pe acesta. Tot ce poți face este să te bazezi pe reputația companiei, care, de obicei, variază de la ușor pătată la complet umedă.

Mulți oameni își amintesc Hushmail - primul serviciu de e-mail bazat pe web cu criptare OpenPGP pe server. Sunt sigur că cineva îl mai folosește, considerându-l de încredere. La urma urmei, toate scrisorile sunt stocate în el pe propriul server securizat și transmise la adrese externe printr-un alt server cu suport SSL. Timp de aproape zece ani, compania a insistat că este imposibil să descifreze e-mailurile clienților săi. Cu toate acestea, în 2007, Hushmail a fost nevoit să admită că are o astfel de capacitate tehnică și o furnizează la cererea autorităților și, de asemenea, înregistrează adresele IP ale clienților săi și colectează „alte statistici” despre acestea în cazul în care autoritățile competente solicită aceasta.

Cu toate acestea, la naiba cu Hushmail. Majoritatea oamenilor folosesc astăzi Gmail, care se dezvoltă activ. „Foarte activ”, spune Matthew Green, profesor de criptografie la Universitatea Johns Hopkins. - Se vor împlini în curând doi ani de când Google a promis că va introduce criptarea e-mail-ului end-to-end. Deci unde este?

Este curios că, pe lângă Google, Yahoo, Microsoft și alții au promis că vor face acest lucru în momente diferite. Există o explicație evidentă pentru ce companiile cu venituri anuale de miliarde de dolari nu au implementat încă criptarea end-to-end. Implică efectuarea de operațiuni criptografice într-un mediu de încredere și transmiterea mesajelor prin noduri nesigure doar în formă criptată. Este aproape imposibil să implementați acest lucru fără control asupra dispozitivelor.

Problema este că criptarea și decriptarea e-mailului trebuie făcute pe platforme complet diferite. Fiecare dintre ele are propriile vulnerabilități care anulează orice protecție criptografică la nivel de aplicație. Vulnerabilitățile critice rămân nepatificate luni de zile. Prin urmare, ce rost are criptarea literelor dacă o copie a acestora poate fi furată în secret în text clar, de exemplu, din RAM sau dintr-un fișier temporar?

Exact așa a fost piratată Echipa Italiană de Hacking: atacatorul a obținut acces de la distanță la unul dintre computerele din rețeaua locală a companiei, apoi a așteptat pur și simplu ca unul dintre angajați să deschidă containerul TrueCrypt cu toată corespondența și documentația secretă. Fără un mediu de încredere, indiferent dacă criptați sau nu, veți obține totuși doar iluzia protecției.

Aplicații pentru criptarea corespondenței prin e-mail.

Mailvelope este una dintre cele mai avansate extensii pentru criptarea e-mailurilor în Google Chrome. Am vorbit deja despre asta mai devreme și chiar și atunci a fost o dezvoltare de înaltă calitate.

Managementul cheilor în Mailvelope

Alte extensii promit funcționalități de bază PGP în browser, dar sunt pline de propriile neajunsuri. Suplimentul Pandor are o logică de operare ciudată. Prin design, utilizatorii se înregistrează pe site-ul web pandor.me și generează chei PGP. Toate sunt stocate pe server și sunt utilizate automat pentru criptare și decriptare. Nu este nevoie să schimbați cheile. Confortabil? Pot fi. Cu toate acestea, cei care sacrifică comoditatea pentru securitate ajung să le piardă pe amândouă. Cheia secretă se numește așa dintr-un motiv și o pereche de chei poate fi generată în siguranță doar local.

Criptarea e-mailurilor folosind Keybase.io

Cheile publice pot fi trimise nu numai manual tuturor interlocutorilor, ci și încărcate pe un server specializat. Acest lucru va facilita găsirea și semnarea acestora, extinzând rețeaua de încredere. Am scris deja despre unul dintre aceste depozite de chei publice - Keybase.io. După o pornire rapidă, interesul pentru dezvoltarea acestui server cu cheie publică în rândul dezvoltatorilor săi a dispărut. Depozitul este în testare beta de doi ani, dar acest lucru nu împiedică utilizarea lui.

Keybase.io confirmă nu numai valabilitatea cheii publice a interlocutorului și a adresei sale de e-mail, ci și adresa URL a site-ului său personal, precum și conturile de Twitter și GitHub ale utilizatorului, dacă există. Într-un cuvânt, dacă interlocutorii tăi își încarcă cheile publice pe Keybase.io, atunci îi poți găsi oricând acolo împreună cu informațiile de contact curente.

Criptarea e-mailului este un lucru extrem de necesar la care utilizatorii se gândesc rar. Ei încep să se gândească și să ia măsuri pentru a proteja e-mailul numai după ce sunt atacați. Astăzi vă voi spune cum să criptați e-mailul și să preveniți interceptarea datelor importante, confidențiale.

1. Furnizor de servicii de e-mail cu PFS

Utilizați serviciile furnizorilor care folosesc deja noul sistem Perfect Forward Secrecy (PFS) pentru a schimba cheile între expeditor și destinatar.

În Rusia, PFS este deja oferit de servicii precum: Web.de, GMX și Posteo.

2. Configurarea Gpg4win

Instalați pachetul de instalare. De obicei, pachetul este utilizat dintr-un cont de administrator Windows.


Dacă nu doriți să vă asumați riscul, puteți totuși atenua vulnerabilitățile utilizând un cont de utilizator restricționat pentru comunicații criptate pentru a refuza accesul la datele profilului contului.

3. Creați criptare

Deschideți managerul de certificate Kleopatra, care este instalat pe computer împreună cu Gpg4win și faceți clic pe Fișier | Certificat nou... pentru a lansa vrăjitorul de generare a cheilor. Selectați aici Generați o pereche de chei personală OpenPGPși introduceți numele și adresa dvs. de e-mail.


Cum se criptează e-mailul

Făcând clic pe Următorul, introduceți un cuvânt cod ușor de reținut pentru dvs., care conține litere mari și mici și cifre. Omiteți ultima casetă de dialog, faceți clic pe butonul de finalizare și perechea de chei este gata de utilizare.

4. Configurarea Thunderbird și Enigmail

Descărcați și instalați pentru e-mailul dvs. Dacă utilizați serviciile unor furnizori mari sau Posteo, atunci pentru asistentul de instalare va fi suficient să introduceți adresa de e-mail și parola pe care trebuie să vă conectați prin clientul web al serviciului. Când configurați add-on-ul Enigmail în Thunderbird, apăsați Alt pentru a afișa meniul și faceți clic pe filă Instrumente | Suplimente. În bara de căutare, tastați Enigmail și apăsați Enter. Prima intrare ar trebui să fie cea mai recentă versiune a Enigmail. Faceți clic pe butonul Instalare.


E-mail criptat

După instalarea și repornirea Thunderbird, veți fi întâmpinat de vrăjitorul Enigmail. În setările acestui expert, selectați Criptare automată convenabilă, Nu semnați mesaje în mod implicit...Și Modificarea parametrilor: Da. În caseta de dialog Selectare cheie, faceți clic pe cheia creată la pasul 3. Acum e-mailurile vor fi criptate.

5. Criptarea e-mailurilor și a atașamentelor

Puteți continua să trimiteți și să primiți e-mailuri necriptate folosind Thunderbird sau de la clientul web al furnizorului dvs. Dacă doriți să trimiteți un mesaj criptat, obțineți cheia publică a acestuia de la viitorul destinatar, salvați-o pe hard disk și importați-l în utilitarul Kleopatra deschizându-l și selectând „Importați certificate”. Pentru a cripta o scrisoare, mai întâi scrieți-o și atașați atașamentele necesare. Apoi, în fereastra Scrieți scrisoare, faceți clic pe meniul Enigmail, unde starea curentă de criptare și semnătură a scrisorii va fi afișată în primele două intrări.


E-mail criptat

Făcând clic pe pictograma săgeată de lângă ea, puteți forța trimiterea e-mailurilor criptate sau necriptate. Trebuie să adăugați o semnătură la e-mailurile criptate, astfel încât destinatarul să poată verifica dacă ați trimis de fapt e-mailul.

6. Primirea de e-mailuri criptate

Pentru a vă trimite un e-mail securizat din punct de vedere criptografic, trebuie să utilizați Enigmail (sau o altă soluție compatibilă cu OEP-PGP, cum ar fi Claws Mail) și cheia dvs. publică, pe care ar trebui să o trimiteți într-un e-mail necriptat viitorului expeditor. Faceți clic pe e-mail pe Enigmail | Atașează-mi cheia publică. Când primiți un e-mail criptat, Enigmail vă va solicita să introduceți o parolă.


Asta e tot. Cu ajutorul pașilor descriși mai sus veți putea să faceți în mod fiabil. Dacă ți-a plăcut articolul, dă clic pe butoanele rețelelor de socializare. rețele și abonați-vă la știrile site-ului de pe rețelele sociale.

În ciuda tuturor capabilităților antivirusurilor și pluginurilor de browser, criptarea e-mailului este încă relevantă. necesare pentru a vă proteja informațiile confidențiale în timpul tranzitului.

Relevanța criptării e-mailului este determinată de capacitatea unui atacator de a vă afla informațiile confidențiale, de a le schimba sau de a le șterge pur și simplu. Imaginați-vă că trimiteți un contract, un acord sau un raport către partenerul dvs. de afaceri. Un atacator vă poate intercepta mesajul și poate afla suma tranzacției, poate modifica informațiile trimise sau pur și simplu șterge mesajul. Niciunul dintre aceste rezultate nu este benefic pentru tine.

Criptarea e-mailurilor este obligatorie, dacă trimiteți date importante și confidențiale. Petreceți puțin timp criptând corespondența dvs. și astfel protejând-o în mod fiabil.

Metode de criptare a e-mailului

Există diferite moduri de a cripta e-mailurile. Cele mai primitive sunt să convingi cu destinatarul că vei înlocui unele numere cu altele sau vei trimite datele pe părți. Toate acestea sunt incomode și ineficiente.

Pentru a proteja eficient corespondența este necesar să folosiți programe speciale. Foarte mod popular și de încredere este de a cripta separat datele prin programe speciale și de a atașa aceste date ca atașament la scrisoare. Pentru aceasta puteți folosi WinRAR, TrueCrypt, dsCrypt

Setarea unei parole prin WinRAR

WinRAR– un program foarte comun pentru arhivarea datelor. Când creați o arhivă, puteți seta o parolă pentru aceasta. Metoda este foarte simplă și destul de eficientă. Dacă setați o parolă puternică pentru arhivă, va fi extrem de dificil să aflați informațiile. O descriere detaliată a modului de a pune o parolă într-o arhivă folosind WinRAR sau 7-Zip.

Crearea unui container TrueCrypt criptat

Criptarea datelor prin dsCrypt

dsCrypt este un program gratuit de criptare a datelor care utilizează algoritmul de criptare AES. dsCrypt este un program ușor care nu necesită instalare.

Pentru a cripta, trageți documentul criptat în fereastra programului și setați o parolă.


Ca urmare, primiți un fișier securizat în format DCS și îl atașați la scrisoare.

Destinatarul lansează programul dsCrypt, trece în modul de decriptare (trebuie să faceți clic pe butonul de mod), trage fișierul criptat în fereastră și introduce parola.

Totul este rapid, ușor și simplu. dsCrypt are multe setări diferite, inclusiv modul Secure PassPad, care protejează parola de programele keylogger.

Client de e-mail criptat MEO File Encryption

– un criptator gratuit cu funcția de a trimite scrisori. Este foarte convenabil de utilizat dacă comunicați cu un cerc obișnuit de parteneri de afaceri. Descărcați MEO File Encryption

Există 3 butoane în fereastra principală a programului: Criptați fișiere, Criptați un e-mail și Decriptați un fișier.

Procesul de criptare, ca și în programele discutate anterior, se rezumă la selectarea fișierelor și setarea unei parole.

Pentru a trimite o scrisoare prin poștă, trebuie să specificați un cont SMTP în setările programului.

Acum puteți trimite scrisori ca de la orice alt client de e-mail și să specificați în atașament fișierele și folderele care trebuie criptate și trimise. Foarte convenabil, economisește timp.

Concluzie

Desigur, există multe modalități de a cripta e-mailurile, dar metodele prezentate în acest articol sunt cele mai ușor de utilizat și pot oferi nivelul adecvat de criptare a e-mailurilor.