Mã hóa email: Máy tính. Bảo vệ email doanh nghiệp
Ngày 28 tháng 10 năm 2013 lúc 4:41 chiềuCách mã hóa tin nhắn qua e-mail và điều này có làm cho nó “an toàn hơn” không
- Bảo mật thông tin
Thông tin gửi qua email có an toàn không?
Câu trả lời trung thực cho câu hỏi này sẽ là: “Có. Nhưng không". Khi bạn truy cập hầu hết các trang web, HTTP được hiển thị trên thanh địa chỉ. Đây là một kết nối không an toàn. Nếu bạn đăng nhập vào tài khoản của một trong những dịch vụ email chính, bạn sẽ thấy HTTPS. Điều này cho thấy việc sử dụng các giao thức mã hóa SSL và TLS, đảm bảo “hành trình” an toàn của một bức thư từ cửa sổ trình duyệt đến máy chủ thư. Tuy nhiên, điều này không đưa ra bất cứ điều gì liên quan đến việc có hiệu lực vào ngày 1 tháng 7 năm 2014. Hơn nữa, hoàn toàn không có gì bảo vệ thư từ của bạn khỏi một nhân viên vô đạo đức của một công ty dịch vụ bưu chính, các cuộc tấn công của hacker, phiên không được tiết lộ trên máy tính của người khác, điểm Wi-Fi không được bảo vệ, cũng như bất kỳ yêu cầu nào của các dịch vụ đặc biệt - hiện tại - và thậm chí chính dịch vụ bưu chính, phù hợp với chính sách bảo mật của riêng họ.
Tất cả các thư đến, đi hoặc được lưu trữ trên máy chủ dịch vụ thư đều thuộc quyền sử dụng hoàn toàn của công ty mà nó (máy chủ) thuộc về. Bằng cách đảm bảo an ninh trong quá trình chuyển giao, công ty có thể làm bất cứ điều gì họ muốn với các tin nhắn, vì về bản chất, công ty nhận được các bức thư theo ý mình. Vì vậy, bạn chỉ có thể hy vọng vào sự liêm chính của ban lãnh đạo và nhân viên (công ty) cũng như thực tế là bạn khó có thể quan tâm nghiêm túc đến bất kỳ ai.
Khi sử dụng thư công ty, thư từ được bảo vệ bởi dịch vụ CNTT, dịch vụ này có thể cài đặt Tường lửa rất nghiêm ngặt. Và tuy nhiên, điều này cũng sẽ không cứu được bạn nếu một nhân viên vô đạo đức “làm rò rỉ” thông tin. Chúng ta không nhất thiết phải nói về quản trị viên hệ thống - kẻ tấn công chỉ cần “ở trong” mạng công ty: nếu hắn nghiêm túc, phần còn lại là vấn đề kỹ thuật.
Hãy mã hóa
Mã hóa văn bản của bức thư và các tệp đính kèm có thể phần nào tăng mức độ bảo vệ hoàn hảo cho thư của bạn (ví dụ: chúng cũng có thể được đặt trong kho lưu trữ bằng mật khẩu, nếu bản thân văn bản không chứa dữ liệu bí mật, nhưng kho lưu trữ thì có) . Trong trường hợp này, bạn có thể sử dụng phần mềm đặc biệt.Bản thân nội dung của bức thư có thể được mã hóa bằng chương trình mật mã của bên thứ ba, hãy để tôi nhắc lại điều này một chút theo cách riêng của mình. Dịch vụ phổ biến nhất mà chương trình mã hóa được tạo đặc biệt là Gmail. Tiện ích mở rộng SecureGmail được cài đặt trong Google Chrome, hỗ trợ mã hóa này, sau đó mọi thứ khá đơn giản - nhập mật khẩu cho tin nhắn được mã hóa và câu hỏi gợi ý để khôi phục nó. Hạn chế duy nhất là nó chỉ giới hạn ở GoogleChrome.
Có một bộ mã hóa phù hợp với hầu hết mọi thư trực tuyến, chẳng hạn như mail.ru, yandex.ru, Gmail.com - cho tất cả các dịch vụ thư mà bạn có thể mở trong cửa sổ trình duyệt Mozilla. Đây là một phần mở rộng của Truyền thông được mã hóa. Nguyên tắc hoạt động giống như SecureGmail: sau khi viết thư, dùng chuột chọn thư đó, sau đó nhấp chuột phải và chọn “mã hóa bằng Giao tiếp được mã hóa”. Tiếp theo, nhập và xác nhận mật khẩu mà bạn và người nhận biết. Đương nhiên, cả hai ứng dụng khách này phải được cài đặt trên cả người nhận và người gửi và cả hai người này đều phải biết mật khẩu. (Cần lưu ý rằng việc gửi mật khẩu qua cùng một email sẽ là liều lĩnh.)
Ngoài các plugin dành cho trình duyệt mà bạn mở thư, còn có một ứng dụng dành cho máy tính để bàn cũng có thể được sử dụng với các dịch vụ thư trực tuyến - PGP (Pretty Good Privacy). Phương pháp này tốt vì nó sử dụng hai khóa mã hóa - công khai và riêng tư. Bạn cũng có thể sử dụng một số chương trình để mã hóa dữ liệu và mã hóa văn bản của một bức thư: DriveCrypt, Gpg4win, Gpg4usb, Comodo SecureEmail và các chương trình khác.
Đáng buồn thay, công nghệ mã hóa tiên tiến, cho dù nó có dễ sử dụng và đẹp đến đâu, cũng sẽ không giúp ích được gì nếu chẳng hạn, một cửa hậu được cài đặt trên máy tính của bạn để chụp ảnh màn hình và gửi chúng lên mạng. Vì vậy, cách tốt nhất để mã hóa là không viết chữ. Phương châm “Chúng ta phải gặp nhau thường xuyên hơn” mang một ý nghĩa mới trong bối cảnh này.
Chúng tôi giảm thiểu rủi ro
Như đã lưu ý ở trên, phương pháp mã hóa lý tưởng là không viết thư. Thông thường, bạn không nên sử dụng các dịch vụ email miễn phí để trao đổi thư từ liên quan đến công việc, đặc biệt nếu bạn đã ký thỏa thuận không tiết lộ thông tin. Thực tế là nếu tin nhắn của bạn bị chặn từ email công ty, bộ phận CNTT của công ty sẽ giải quyết lỗ hổng bảo mật. Nếu không, bạn phải chịu trách nhiệm cá nhân. Hãy nhớ rằng: khi sử dụng thư “bên ngoài”, thư từ chắc chắn sẽ đến tay bên thứ ba, ít nhất là nhân viên của công ty cung cấp dịch vụ bưu chính. Và họ đã không ký thỏa thuận không tiết lộ thông tin với chủ nhân của bạn.Nếu bạn là người quan trọng trong công ty, đừng gửi các tài liệu quan trọng qua các kênh mở hoặc hoàn toàn không sử dụng e-mail để truyền chúng, nhưng vì công việc, hãy sử dụng thư công ty và không gửi những lá thư quan trọng đến các địa chỉ thư miễn phí dịch vụ.
Trong tất cả các trường hợp khác, chẳng hạn như khi ký kết hợp đồng, việc sử dụng thư sẽ rất hữu ích vì tin nhắn điện tử chứa đựng thông tin thực tế về các thỏa thuận công việc của bạn và có thể giúp ích cho bạn trong tương lai. Hãy nhớ rằng hầu hết các rò rỉ thông tin không phải do lỗi của hacker mà do “yếu tố con người”. Chỉ cần bạn sử dụng mật khẩu phức tạp, thay đổi thường xuyên và tránh bị mất là đủ. Bạn không nên quên đóng các phiên của mình trên máy tính của người khác, không sử dụng các kết nối không an toàn khi làm việc qua Wi-Fi ở những nơi công cộng, chọn các hộp trong cài đặt hộp thư “ghi nhớ địa chỉ IP của tôi”, “theo dõi địa chỉ IP từ phiên nào đã được thực hiện”. đã mở", "không cho phép các phiên song song." Và cũng không tạo các câu hỏi và câu trả lời đơn giản để khôi phục mật khẩu và không làm mất điện thoại di động nếu tài khoản của bạn được liên kết với nó.
Bài viết này mô tả cách định cấu hình Thunderbird để ký điện tử, mã hóa và giải mã tin nhắn nhằm giúp thông tin liên lạc của bạn an toàn hơn.
Giới thiệu
Khi cơ sở hạ tầng email mà tất cả chúng ta sử dụng được thiết kế, tính bảo mật chưa được tích hợp vào đó. Trong khi hầu hết mọi người kết nối với máy chủ email bằng kết nối an toàn ("SSL"), một số máy chủ cho phép truy cập không an toàn. Hơn nữa, khi tin nhắn di chuyển dọc theo chuỗi từ người gửi đến người nhận, kết nối giữa mỗi máy chủ không nhất thiết phải an toàn. Điều này cho phép bên thứ ba chặn, đọc và giả mạo email trong khi chúng đang được chuyển tiếp.
Khi bạn ký điện tử vào một tin nhắn, bạn đang nhúng thông tin xác minh danh tính của bạn vào tin nhắn. Khi bạn mã hóa một tin nhắn, đồng nghĩa với việc nó sẽ xuất hiện “bị xáo trộn” và chỉ người có chìa khóa giải mã tin nhắn mới có thể đọc được. Ký điện tử vào tin nhắn đảm bảo rằng tin nhắn đến từ người gửi đã nêu. Mã hóa đảm bảo rằng tin nhắn sẽ không bị đọc hoặc sửa đổi trong quá trình truyền.
Để mã hóa tin nhắn, bạn có thể sử dụng hệ thống mật mã khóa công khai. Trong hệ thống như vậy, mỗi người tham gia có hai khóa riêng biệt: khóa công khai Và khóa riêng. Khi ai đó muốn gửi cho bạn một tin nhắn được mã hóa, họ sẽ sử dụng khóa chung của bạn để tạo thuật toán mã hóa. Khi nhận được tin nhắn, bạn phải sử dụng khóa riêng của mình để giải mã nó.
Quan trọng: Không bao giờ đưa khóa riêng của bạn cho bất kỳ ai.
Giao thức được sử dụng để mã hóa email được gọi là PGP (Pretty Good Privacy). Để sử dụng PGP trong Thunderbird, trước tiên bạn phải cài đặt:
- GnuPG: (GNU Privacy Guard): triển khai PGP miễn phí
- Enigmail: tiện ích bổ sung cho Thunderbird
Cả hai ứng dụng này cũng cung cấp khả năng ký điện tử cho tin nhắn.
Cài đặt GPG và Enigmail
Để cài đặt GnuPG, hãy tải xuống gói thích hợp cho nền tảng của bạn từ trang tải xuống GnuPG. Làm theo hướng dẫn của trình cài đặt. Để biết thêm thông tin về cách cài đặt PGP trên một hệ điều hành cụ thể, hãy đọc:
Để cài đặt Enigmail:
- Trong Thunderbird, chọn Công cụ > Tiện ích bổ sung.
- Sử dụng thanh tìm kiếm ở góc trên bên phải để tìm kiếm Enigmail.
- Chọn Enigmail từ danh sách kết quả tìm kiếm và làm theo hướng dẫn để cài đặt tiện ích bổ sung.
Tạo khóa PGP
Tạo cặp khóa công khai/riêng như thế này:
Gửi và nhận khóa công khai
Gửi khóa công khai của bạn qua email
Để nhận tin nhắn được mã hóa từ người khác, trước tiên bạn phải gửi cho họ khóa chung của mình:
Nhận khóa công khai qua email
Để gửi tin nhắn được mã hóa cho người khác, bạn phải lấy và lưu trữ khóa chung của họ:
Gửi email đã ký và/hoặc mã hóa
Lưu ý: Dòng chủ đề của tin nhắn sẽ không được mã hóa.
Đọc email đã ký và/hoặc mã hóa
Khi bạn nhận được tin nhắn được mã hóa, Thunderbird sẽ yêu cầu bạn nhập mật khẩu bí mật để giải mã tin nhắn. Để xác định xem thư đến đã được ký hoặc mã hóa hay chưa, bạn cần nhìn vào thanh thông tin phía trên nội dung thư.
Nếu Thunderbird nhận dạng được chữ ký, một thanh màu xanh sẽ xuất hiện phía trên tin nhắn (như hình bên dưới).
Nếu tin nhắn đã được mã hóa và ký tên, dòng chữ “Tin nhắn được giải mã” cũng sẽ xuất hiện trong bảng màu xanh lá cây.
Nếu tin nhắn đã được mã hóa nhưng chưa được ký, bảng hiển thị trong hình bên dưới sẽ xuất hiện.
Các dịch vụ mật mã cho email đã được phát triển từ lâu, nhưng thậm chí 25 năm sau khi PGP ra đời, chúng vẫn chưa có nhu cầu đặc biệt. Lý do là vì chúng dựa trên cơ sở hạ tầng nhắn tin lỗi thời, buộc phải sử dụng môi trường không đáng tin cậy (bao gồm một bộ máy chủ thư ngẫu nhiên), có khả năng tương thích hạn chế, số lượng lỗi đã biết ngày càng tăng và đơn giản là phức tạp đối với người dùng bình thường. Bạn có thể dễ dàng hiểu được sự phức tạp của mật mã, nhưng một ngày nào đó ông chủ luôn bận rộn của bạn sẽ nhầm lẫn hai khóa và tải khóa bí mật lên máy chủ, đốt tất cả thư từ của bạn cùng một lúc. Tất nhiên, bạn sẽ bị đổ lỗi.
Khái niệm mã hóa thư được chia thành nhiều nhiệm vụ được áp dụng, trong đó có thể phân biệt hai nhiệm vụ chính: bảo vệ khỏi con mắt tò mò của những bức thư đã nhận được và chuẩn bị gửi (cơ sở dữ liệu thư) và bảo vệ thư trực tiếp trong quá trình chuyển tiếp - khỏi bị tiết lộ hoặc sửa đổi văn bản khi nó bị chặn.
Nói cách khác, bảo vệ thư mật mã kết hợp các phương pháp chống truy cập trái phép và các cuộc tấn công trung gian, vốn có các giải pháp cơ bản khác nhau. Thật không may, họ thường bị nhầm lẫn và cố gắng sử dụng các phương pháp không phù hợp. Tôi kể cho bạn một câu chuyện ngắn về hai nhân vật mật mã nổi tiếng, những nhân vật này sẽ đặt mọi thứ vào đúng vị trí của nó và chứng minh rõ ràng các vấn đề với việc mã hóa thư. Như người ta vẫn nói, không có câu chuyện nào bí mật hơn câu chuyện về Alice và Bob!
Sau hai cú nhấp chuột, Bob mã hóa nó bằng một khóa mà Alice biết. Anh ấy hy vọng mình đã nhập chính xác từ bộ nhớ khi thiết lập CryptoData trên máy tính công cộng. Nếu không, tin nhắn quan trọng sẽ vẫn là một mớ ký tự lộn xộn mà anh ta đã chèn vào nội dung bức thư, được sao chép từ cửa sổ CryptoData. 
Alice nhận được một lá thư lạ, nhìn thấy trong đó sự khởi đầu quen thuộc của S3CRYPT và hiểu rằng cô phải sử dụng CryptoData bằng chìa khóa mà cô từng trao đổi với Bob. Nhưng kể từ đó đã có nhiều chuyện xảy ra và có thể cô ấy không nhớ chiếc chìa khóa đó là gì.
Cố gắng giải mã bức thư
Nếu Alice thực hiện những điều kỳ diệu của khả năng ghi nhớ và tuy nhiên vẫn nhập đúng khóa, tin nhắn từ Bob sẽ ở dạng có thể đọc được.
Bức thư đã được giải mã
Tuy nhiên, trí nhớ của cô gái khác xa với EEPROM nên Bob nhận được câu trả lời bất ngờ. 
Tất nhiên Bob biết cách sử dụng PGP. Nhưng lần cuối cùng anh làm điều này là trong ứng dụng email The Bat, được cài đặt trên một chiếc máy tính xách tay bị hỏng. Làm cách nào để kiểm tra key đã gửi? Điều gì sẽ xảy ra nếu Alice đang bị tra tấn ngay bây giờ và họ đang trả lời anh ta từ địa chỉ của cô ấy và cố gắng tìm ra bí mật của cô ấy? Do đó, Bob yêu cầu đảm bảo thêm về tính xác thực của khóa. Ví dụ: bạn có thể yêu cầu Jack kiểm tra và ký tên.
Trang web tin cậy PGP
Alice phản ứng hơi kỳ lạ. Cô báo tin về sự biến mất đột ngột của Jack và đưa ra một phương pháp xác minh khác. Tuy nhiên, không đáng tin cậy lắm. Chữ ký số S/MIME đơn giản nhất sẽ chỉ xác nhận địa chỉ của người gửi chứ không xác nhận danh tính của người đó. Vì vậy, Bob dùng đến một thủ thuật: anh ta yêu cầu xác nhận chìa khóa thông qua một kênh liên lạc khác, đồng thời kiểm tra bí mật được chia sẻ với Alice mà chỉ họ mới biết.
Sử dụng dấu vân tay chính và bí mật chung
Sau một thời gian, anh ấy nhận được một tin nhắn SMS có mã khóa chính xác và một lá thư mới từ Alice.
Dấu vân tay và câu trả lời cho câu hỏi bảo mật
Bức thư có vẻ thuyết phục, dấu vân tay trên chìa khóa trùng khớp, nhưng Bob là một mớ hỗn độn. Sau khi đọc câu trả lời cho câu hỏi bí mật, anh ấy nhận ra rằng mình không đang nói chuyện với Alice.
Tin nhắn cuối cùng của Bob gửi giả Alice
HÌNH HỌC MÃ HÓA
Trong câu chuyện này, Alice và Bob đang cố gắng sử dụng hai loại bảo mật mật mã cơ bản khác nhau. CryptoData sử dụng cùng một khóa để mã hóa và giải mã AES. Vì vậy, hệ thống mật mã như vậy được gọi là đối xứng.
Không giống như AES-CTR, PGP sử dụng một cặp khóa khác nhau nhưng có liên quan về mặt toán học. Đây là một hệ thống bất đối xứng, được thiết kế theo nguyên tắc ổ khóa có chốt: bất kỳ ai cũng có thể đóng sầm cửa (mã hóa tin nhắn), nhưng chỉ chủ nhân của chìa khóa mới có thể mở được (giải mã văn bản).
Trong các hệ thống đối xứng, việc đạt được cường độ mật mã cao với độ dài khóa tương đối ngắn sẽ dễ dàng hơn, nhưng để tiến hành trao đổi thư từ được mã hóa, khóa này trước tiên phải được truyền đến người đối thoại thông qua một kênh đáng tin cậy bằng cách nào đó. Nếu người ngoài biết được chìa khóa thì tất cả các thư từ bị chặn trước đó sẽ bị tiết lộ. Do đó, mã hóa đối xứng được sử dụng chủ yếu để bảo vệ cục bộ cơ sở dữ liệu email chứ không phải để chuyển tiếp email.
Các hệ thống bất đối xứng giải quyết cụ thể vấn đề truyền khóa qua một phương tiện không đáng tin cậy bằng cặp khóa. Khóa chung được sử dụng để mã hóa tin nhắn được gửi đến một người nhận cụ thể và xác minh chữ ký mật mã trong các bức thư nhận được từ người đó. Bí mật - để giải mã lá thư đã nhận và ký vào lá thư đã gửi. Khi tổ chức thư từ an toàn, người đối thoại chỉ cần trao đổi khóa công khai của họ và việc chặn của họ (gần như) sẽ không ảnh hưởng gì. Vì vậy, hệ thống như vậy còn được gọi là mã hóa khóa công khai. Hỗ trợ PGP đã được triển khai trong các ứng dụng email từ lâu, nhưng khi sử dụng email qua giao diện web, sẽ cần đến các tiện ích bổ sung của trình duyệt.
Chúng tôi đã chọn CryptoData làm ví dụ, vì trong số tất cả các tiện ích mở rộng đã biết tại thời điểm viết bài, chỉ có tiện ích mở rộng này có trạng thái cập nhật và diễn đàn trực tiếp bằng tiếng Nga. Nhân tiện, bằng cách sử dụng CryptoData, bạn không chỉ có thể mã hóa thư mà còn có thể lưu trữ các ghi chú cục bộ dưới sự bảo vệ AES và thậm chí tạo và xem các trang web được mã hóa.
CryptoData có sẵn cho trình duyệt Firefox dưới dạng tiện ích bổ sung. Nó cũng hỗ trợ ứng dụng email Thunderbird và SeaMonkey. Văn bản được mã hóa bằng thuật toán AES. Mặc dù có tính chất khối nhưng ở chế độ truy cập (CTR), nó thực hiện mã hóa luồng.
Ưu điểm của CryptoData bao gồm việc triển khai AES-CTR nổi tiếng thông qua JavaScript. Nhược điểm chính của CryptoData (cũng như bất kỳ hệ thống đối xứng nào) là không thể trao đổi khóa một cách an toàn.
Khi sử dụng CryptoData trong email, ngoài văn bản được mã hóa, bạn phải bằng cách nào đó chuyển khóa để giải mã nó. Thực hiện việc này một cách an toàn qua Internet là vô cùng khó khăn. Cần phải tạo một kênh đáng tin cậy và lý tưởng nhất là sắp xếp một cuộc gặp cá nhân. Vì vậy, sẽ không thể thay đổi phím thường xuyên được. Nếu khóa bị xâm phạm, nó sẽ tiết lộ tất cả thư từ được mã hóa bị chặn trước đó.
Một nhược điểm ít đáng kể hơn là sự khởi đầu dễ nhận biết của tất cả các văn bản được mã hóa. Sau phần đầu tiêu chuẩn “S3CRYPT:BEGIN”, thuật toán được sử dụng và chế độ mã hóa (AESCTR hoặc RC4) được chỉ định bằng văn bản rõ ràng. Điều này giúp việc chặn có chọn lọc các tin nhắn được mã hóa (thường là tất cả những điều quan trọng nhất đều được viết trong đó) và bẻ khóa chúng dễ dàng hơn.
CryptFire, Giao tiếp được mã hóa và nhiều tiện ích mở rộng khác hoạt động tương tự như CryptoData.
Để thuận tiện cho việc trao đổi khóa công khai và xác nhận chúng, các kho lưu trữ chuyên dụng được tạo ra. Trên các máy chủ khóa công khai như vậy, việc tìm thấy máy chủ khóa công khai phù hợp với người dùng mong muốn sẽ dễ dàng hơn. Đồng thời, không cần phải đăng ký trên các tài nguyên đáng ngờ và có nguy cơ bị lộ khóa bí mật của bạn.
TỪ Thuật toán đến TIÊU CHUẨN MÃ HÓA THƯ
Để làm việc với thư từ được mã hóa, người đối thoại phải sử dụng các phương pháp mã hóa giống nhau. Do đó, bất kỳ biện pháp bảo vệ thư nào ở cấp độ ứng dụng hoặc dịch vụ đều sử dụng một số loại hệ thống mật mã trong khuôn khổ tiêu chuẩn mã hóa được chấp nhận rộng rãi. Ví dụ: ứng dụng khách Thunderbird hỗ trợ phân nhánh GnuPG thông qua tiện ích bổ sung Enigmail dưới dạng triển khai mở của hệ thống mật mã PGP theo tiêu chuẩn OpenPGP.
Ngược lại, PGP và bất kỳ hệ thống mật mã nào khác đều dựa trên một số thuật toán mã hóa được sử dụng ở các giai đoạn hoạt động khác nhau. RSA vẫn là thuật toán mã hóa bất đối xứng phổ biến nhất. Nó cũng được sử dụng trong hệ thống mật mã PGP gốc của Philipp Zimmermann. Nó sử dụng RSA để mã hóa hàm băm MD5 128 bit và khóa IDEA 128 bit.
Các nhánh PGP khác nhau (ví dụ: GnuPG) có những khác biệt về thuật toán riêng. Nhưng nếu các hệ thống mật mã đáp ứng các yêu cầu của tiêu chuẩn OpenPGP chung thì chúng vẫn tương thích với nhau. Người đối thoại có thể tiến hành trao đổi thư từ an toàn bằng cách sử dụng các phiên bản khác nhau của chương trình mã hóa, bao gồm cả những phiên bản được thiết kế cho các nền tảng khác nhau. Do đó, một bức thư được mã hóa PGP được viết trong Thunderbird dành cho Linux có thể được đọc trong The Bat dành cho Windows và thậm chí thông qua trình duyệt có hỗ trợ OpenPGP ở cấp độ tiện ích bổ sung.
MÃ HÓA THƯ SỬ DỤNG OPENPGP
OpenPGP được đề xuất vào năm 1997, nhưng việc phát triển tiêu chuẩn này gặp nhiều khó khăn do số phận của chính thuật toán PGP. Quyền đối với nó lần lượt được chuyển giao từ Zimmermann và PGP Inc. cho Network Associates (McAfee), PGP Corporation và Symantec. Mỗi người giữ bản quyền mới đã thay đổi cách triển khai cuối cùng của thuật toán. Có thể McAfee và Symantec đã làm suy yếu sức mạnh mật mã của mình theo yêu cầu của cơ quan chức năng. Ví dụ: bằng cách giảm chất lượng của trình tạo số giả ngẫu nhiên, độ dài khóa hiệu dụng hoặc thậm chí giới thiệu dấu trang phần mềm.
Do đó, vào năm 1999, việc triển khai GnuPG nguồn mở đã xuất hiện. Người ta tin rằng FSF đứng đằng sau nó, nhưng trên thực tế, GnuPG chỉ được phát triển bởi một người - lập trình viên người Đức Werner Koch, người đã từng bị ấn tượng bởi bài phát biểu của Stallman và quyết định tạo ra “một PGP mở, phù hợp”. Sau đó, anh ấy nhiều lần có ý định từ bỏ hỗ trợ cho GnuPG, nhưng vào thời điểm quyết định, anh ấy đã tìm thấy những động lực mới để tiếp tục nó. 
Koch hiện đã 53 tuổi, thất nghiệp và nhiều lần đứng trên bờ vực nghèo đói trước khi ông huy động được hơn 300.000 USD thông qua nhiều chiến dịch gây quỹ cộng đồng khác nhau. Anh ta đã nhận được tiền từ Linux Foundation và từ những người dùng bình thường, đồng thời được Facebook và Stripe tài trợ - đơn giản vì số phận của GPGTools, Enigmail, Gpg4win và nhiều dự án phổ biến khác trong thế giới nguồn mở phụ thuộc hoàn toàn vào mong muốn tiếp tục phát triển của anh ta của GnuPG.
Với nền tảng không vững chắc như vậy, tiêu chuẩn OpenPGP vẫn bộc lộ những điểm yếu. Việc tuyên bố chúng “không phải lỗi mà là các tính năng” sẽ dễ dàng hơn là loại bỏ chúng. Ví dụ: nó chỉ có một cách để xác minh người gửi tin nhắn được mã hóa - chữ ký mật mã. Tuy nhiên, bất kỳ ai cũng có thể xác minh nó bằng khóa chung của người gửi (đó là lý do tại sao tôi sử dụng mệnh đề "gần như" để biểu thị sự an toàn khi chặn khóa chung). Do đó, chữ ký, ngoài việc xác thực, còn cung cấp khả năng chống chối bỏ thông điệp không phải lúc nào cũng cần thiết.
Điều này có ý nghĩa gì trong thực tế? Hãy tưởng tượng rằng bạn gửi cho Assange một mẩu dữ liệu thú vị khác về các quan chức hàng đầu của một quốc gia dân chủ mạnh mẽ. Bức thư bị chặn, địa chỉ IP bị phát hiện và họ đến tìm bạn. Ngay cả khi không tiết lộ nội dung của bức thư được mã hóa, bạn vẫn thu hút sự chú ý bởi chính việc trao đổi thư từ với một người đã bị theo dõi từ lâu. Sẽ không còn có thể đề cập đến việc giả mạo một bức thư hoặc âm mưu của sâu thư - tin nhắn đã được ký bằng khóa bí mật của bạn. Nếu không có chữ ký giống nhau, Assange sẽ không đọc tin nhắn, coi đó là tin nhắn giả mạo hoặc khiêu khích. Nó hóa ra là một vòng luẩn quẩn: chữ ký mật mã khiến không thể từ chối quyền tác giả của các bức thư gửi cho bên thứ ba và nếu không có chữ ký, chính những người đối thoại sẽ không thể đảm bảo tính xác thực của các tin nhắn gửi cho nhau.
Một nhược điểm khác của PGP là các tin nhắn được mã hóa có vẻ ngoài rất dễ nhận biết, do đó, việc trao đổi những bức thư như vậy đã khiến những người đối thoại có khả năng bị các cơ quan tình báo quan tâm. Chúng dễ dàng bị phát hiện trong lưu lượng mạng và tiêu chuẩn OpenPGP không cho phép ẩn người gửi hoặc người nhận. Vì những mục đích này, cùng với PGP, họ đang cố gắng sử dụng kỹ thuật giấu tin như các lớp bảo vệ bổ sung, nhưng việc định tuyến củ hành và các phương pháp ẩn các tệp có định dạng này bên trong một định dạng khác chứa đầy những vấn đề chưa được giải quyết. Ngoài ra, hệ thống này trở nên quá phức tạp, điều đó có nghĩa là nó cũng sẽ không phổ biến và sẽ dễ bị ảnh hưởng bởi lỗi của con người.
Ngoài ra, PGP không có thuộc tính bí mật được xác định trước và các khóa thường có ngày hết hạn dài (thường là một năm hoặc hơn) và hiếm khi được thay đổi. Do đó, nếu khóa bí mật bị xâm phạm, nó có thể giải mã được phần lớn thư từ bị chặn trước đó. Điều này xảy ra, cùng với những lý do khác, vì PGP không bảo vệ khỏi lỗi của con người và không ngăn phản hồi bằng văn bản rõ ràng cho tin nhắn được mã hóa (ngay cả khi có trích dẫn). Có một tin nhắn được mã hóa, một văn bản được giải mã và một khóa chung, việc tính toán bí mật được ghép với nó sẽ dễ dàng hơn nhiều.
S/MIME
Nếu OpenPGP có quá nhiều thiếu sót cơ bản, liệu có giải pháp thay thế nào không? Có và không. Song song đó, các tiêu chuẩn mã hóa thư khác đang được phát triển, bao gồm cả những tiêu chuẩn sử dụng khóa chung. Nhưng hiện tại họ đang loại bỏ một số khuyết điểm với cái giá phải trả là những khuyết điểm khác. Một ví dụ nổi bật về điều này là S/MIME (Phần mở rộng Thư Internet An toàn/Đa năng). Kể từ phiên bản thứ hai xuất hiện vào năm 1998, S/MIME đã trở thành một tiêu chuẩn được chấp nhận rộng rãi. Sự phổ biến thực sự của nó đến một năm sau đó, khi phiên bản thứ ba của S/MIME bắt đầu được hỗ trợ bởi các chương trình email như Microsoft Outlook (Express) và Exchange.
S/MIME đơn giản hóa nhiệm vụ phân phối khóa chung trong môi trường không đáng tin cậy vì vùng chứa khóa chung là chứng chỉ số, thường có một hoặc nhiều chữ ký số. Với bàn tay nặng nề của Microsoft, khái niệm hiện đại về mật mã khóa công khai thường được triển khai thông qua chứng chỉ kỹ thuật số và chuỗi tin cậy. Chứng chỉ được cấp cho một thực thể cụ thể và chứa khóa chung của chúng. Bản thân tính xác thực của chứng chỉ được đảm bảo (thường là vì tiền) bởi tổ chức phát hành nó - tức là tổ chức phát hành, ban đầu được tất cả những người tham gia trao đổi thư tín tin cậy. Ví dụ: có thể là Thawte, VeriSign, Comodo hoặc một công ty lớn khác. Chứng chỉ đơn giản nhất chỉ xác nhận địa chỉ email của bạn mới có thể được lấy miễn phí.
Về lý thuyết, chứng chỉ số giải quyết được hai vấn đề cùng một lúc: giúp dễ dàng tìm thấy khóa chung của người dùng mong muốn và xác minh tính xác thực của nó. Tuy nhiên, trên thực tế, vẫn còn những lỗ hổng nghiêm trọng trong cơ chế chứng chỉ tin cậy và tiêu chuẩn S/MIME có thể tạo ra các vectơ tấn công bổ sung ngoài các vectơ liên quan đến OpenPGP. Do đó, vào năm 2011, một cuộc tấn công đã được thực hiện nhằm vào các cơ quan chứng nhận DigiNotar và Comodo, kết quả là hàng trăm chứng chỉ giả đã được cấp thay mặt cho các nút mạng phổ biến nhất: addons.mozilla.com, login.skype.com, login.yahoo.com, mail.google.com và những nơi khác. Sau đó, chúng được sử dụng trong nhiều tình huống tấn công khác nhau, bao gồm MITM, gửi email lừa đảo và phân phối phần mềm độc hại được ký bằng chứng chỉ từ các công ty nổi tiếng.
MÃ HÓA THƯ WEB VÀ KHÁCH HÀNG DI ĐỘNG
Ngày càng có nhiều người từ bỏ ứng dụng email trên máy tính để bàn, thích làm việc với email thông qua giao diện web hoặc ứng dụng di động. Đây là một sự thay đổi trò chơi hoàn chỉnh. Một mặt, với kết nối web, mã hóa kết nối đã được cung cấp qua HTTPS. Mặt khác, người dùng không có quyền kiểm soát cơ sở dữ liệu thư trên máy chủ và các phương thức truyền thư từ đó. Tất cả những gì bạn có thể làm là dựa vào danh tiếng của công ty, danh tiếng này thường dao động từ hơi hoen ố đến ướt sũng.
Nhiều người nhớ đến Hushmail - dịch vụ email dựa trên web đầu tiên có mã hóa OpenPGP phía máy chủ. Tôi chắc chắn rằng ai đó vẫn sử dụng nó vì nó đáng tin cậy. Rốt cuộc, tất cả các bức thư được cho là được lưu trữ trong đó trên máy chủ bảo mật của chính nó và được truyền đến các địa chỉ bên ngoài thông qua một máy chủ khác có hỗ trợ SSL. Trong gần mười năm, công ty khẳng định không thể giải mã được email của khách hàng. Tuy nhiên, vào năm 2007, Hushmail buộc phải thừa nhận rằng họ có khả năng kỹ thuật như vậy và cung cấp nó theo yêu cầu của cơ quan chức năng, đồng thời ghi lại địa chỉ IP của khách hàng và thu thập “số liệu thống kê khác” về họ trong trường hợp cơ quan có thẩm quyền yêu cầu. Nó.
Tuy nhiên, chết tiệt với Hushmail. Hầu hết mọi người ngày nay đều sử dụng Gmail, ứng dụng này đang tích cực phát triển. “Rất tích cực,” Matthew Green, giáo sư mật mã tại Đại học Johns Hopkins cho biết. - Sẽ sớm tròn hai năm kể từ khi Google hứa giới thiệu tính năng mã hóa email đầu cuối. Vậy nó ở đâu?
Điều tò mò là, ngoài Google, Yahoo, Microsoft và những hãng khác còn hứa sẽ thực hiện việc này vào những thời điểm khác nhau. Có một lời giải thích rõ ràng cho việc tại sao các công ty có doanh thu hàng tỷ USD hàng năm vẫn chưa triển khai mã hóa đầu cuối. Nó liên quan đến việc thực hiện các hoạt động mã hóa trong một môi trường đáng tin cậy và truyền tin nhắn qua các nút không đáng tin cậy chỉ ở dạng được mã hóa. Hầu như không thể thực hiện điều này nếu không kiểm soát các thiết bị.
Vấn đề là việc mã hóa và giải mã email phải được thực hiện trên các nền tảng hoàn toàn khác nhau. Mỗi trong số chúng đều có những lỗ hổng riêng có thể vô hiệu hóa mọi biện pháp bảo vệ mật mã cấp ứng dụng. Các lỗ hổng nghiêm trọng vẫn chưa được vá trong nhiều tháng. Vì vậy, việc mã hóa các chữ cái có ích gì nếu một bản sao của chúng có thể bị đánh cắp một cách bí mật ở dạng văn bản rõ ràng, chẳng hạn như từ RAM hoặc một tệp tạm thời?
Đây chính xác là cách Nhóm Hacking Ý đã bị tấn công: kẻ tấn công có quyền truy cập từ xa vào một trong các máy tính trên mạng cục bộ của công ty và sau đó chỉ cần đợi một trong các nhân viên mở vùng chứa TrueCrypt với tất cả thư từ và tài liệu bí mật. Nếu không có môi trường đáng tin cậy, dù bạn có mã hóa hay không, bạn vẫn sẽ chỉ có ảo tưởng về sự bảo vệ.
Các ứng dụng mã hóa thư từ email.
Phong bì thư là một trong những tiện ích mở rộng tiên tiến nhất để mã hóa thư trong Google Chrome. Chúng tôi đã nói về nó trước đó và thậm chí sau đó nó vẫn là một sự phát triển chất lượng cao.
Quản lý khóa trong Phong bì thư
Các tiện ích mở rộng khác hứa hẹn chức năng PGP cơ bản trong trình duyệt, nhưng chúng cũng chứa đầy những thiếu sót. Addon Pandor có logic hoạt động kỳ lạ. Theo thiết kế, người dùng đăng ký trên trang web pandor.me và tạo khóa PGP. Tất cả chúng đều được lưu trữ trên máy chủ và được tự động sử dụng để mã hóa và giải mã. Không cần phải trao đổi chìa khóa. Thoải mái? Có lẽ. Tuy nhiên, những người hy sinh sự thuận tiện để có được sự an toàn sẽ mất cả hai. Khóa bí mật được gọi như vậy là có lý do và một cặp khóa chỉ có thể được tạo cục bộ một cách an toàn.
Mã hóa thư bằng Keybase.io
Khóa công khai không chỉ có thể được gửi thủ công tới tất cả những người đối thoại mà còn có thể được tải lên một máy chủ chuyên dụng. Điều này sẽ giúp việc tìm kiếm và ký tên chúng dễ dàng hơn, mở rộng mạng lưới tin cậy. Chúng tôi đã viết về một trong những kho khóa công khai này - Keybase.io. Sau một khởi đầu nhanh chóng, sự quan tâm đến sự phát triển của máy chủ khóa công khai này giữa các nhà phát triển đã giảm dần. Kho lưu trữ đã ở giai đoạn thử nghiệm beta được hai năm, nhưng điều này không ngăn cản việc sử dụng nó.
Keybase.io không chỉ xác nhận tính hợp lệ của khóa công khai và địa chỉ email của người đối thoại mà còn xác nhận URL trang web cá nhân của người đối thoại, cũng như tài khoản Twitter và GitHub của người dùng, nếu có. Nói một cách dễ hiểu, nếu người đối thoại của bạn tải khóa công khai của họ lên Keybase.io, thì bạn luôn có thể tìm thấy chúng ở đó cùng với thông tin liên hệ hiện tại.
Mã hóa email là điều vô cùng cần thiết mà người dùng hiếm khi nghĩ tới. Họ bắt đầu suy nghĩ và thực hiện các biện pháp để bảo vệ email chỉ sau khi bị tấn công. Hôm nay tôi sẽ cho bạn biết cách mã hóa email và ngăn chặn việc chặn dữ liệu quan trọng, bí mật.
1. Nhà cung cấp dịch vụ email với PFS
Sử dụng dịch vụ của các nhà cung cấp đã sử dụng hệ thống Bảo mật chuyển tiếp hoàn hảo (PFS) mới để trao đổi khóa giữa người gửi và người nhận.
Ở Nga, PFS đã được cung cấp bởi các dịch vụ như: Web.de, GMX và Posteo.
2. Thiết lập Gpg4win
Cài đặt gói cài đặt. Thông thường, gói được sử dụng từ tài khoản quản trị viên Windows.
Nếu không muốn mạo hiểm, bạn vẫn có thể giảm thiểu lỗ hổng bằng cách sử dụng tài khoản người dùng bị hạn chế để liên lạc được mã hóa nhằm từ chối quyền truy cập vào dữ liệu hồ sơ tài khoản.
3. Tạo mã hóa
Mở trình quản lý chứng chỉ Kleopatra được cài đặt trên máy tính của bạn cùng với Gpg4win và nhấp vào Tệp | Chứng chỉ mới... để khởi chạy trình hướng dẫn tạo khóa. Chọn ở đây Tạo cặp khóa OpenPGP cá nhân và nhập tên và email của bạn.
Cách mã hóa thư Bằng cách nhấp vào Tiếp theo, hãy nhập một từ mã dễ nhớ cho bạn, chứa chữ hoa và chữ thường và số. Bỏ qua hộp thoại cuối cùng, nhấp vào nút kết thúc và cặp khóa của bạn đã sẵn sàng để sử dụng.
4. Thiết lập Thunderbird và Enigmail
Tải xuống và cài đặt cho email của bạn. Nếu bạn sử dụng dịch vụ của các nhà cung cấp lớn hoặc Posteo, thì đối với trình hướng dẫn cài đặt, chỉ cần nhập địa chỉ email và mật khẩu mà bạn phải đăng nhập thông qua ứng dụng khách web của dịch vụ là đủ. Khi thiết lập tiện ích Enigmail trong Thunderbird, nhấn Alt để hiển thị menu và nhấp vào tab Công cụ | Tiện ích bổ sung. Trong thanh tìm kiếm, gõ Enigmail và nhấn Enter. Mục đầu tiên phải là phiên bản mới nhất của Enigmail. Nhấp vào nút Cài đặt.
Thư được mã hóa Sau khi cài đặt và khởi động lại Thunderbird, bạn sẽ được chào đón bởi trình hướng dẫn Enigmail. Trong cài đặt của trình hướng dẫn này, hãy chọn Mã hóa tự động thuận tiện, Không ký tin nhắn theo mặc định... Và Thay đổi thông số: Có. Trong hộp thoại Chọn Khóa, nhấp vào khóa bạn đã tạo ở bước 3. Bây giờ email của bạn sẽ được mã hóa.
5. Mã hóa email và tệp đính kèm
Bạn có thể tiếp tục gửi và nhận email không được mã hóa bằng Thunderbird hoặc từ ứng dụng khách web của nhà cung cấp của bạn. Nếu bạn muốn gửi một tin nhắn được mã hóa, hãy lấy khóa chung của nó từ người nhận trong tương lai, lưu nó vào ổ cứng của bạn và nhập nó vào tiện ích Kleopatra bằng cách mở nó và chọn “Nhập chứng chỉ”. Để mã hóa một bức thư, trước tiên hãy viết nó và đính kèm các tệp đính kèm cần thiết. Sau đó, trong cửa sổ Viết thư, nhấp vào menu Enigmail, nơi trạng thái mã hóa và chữ ký hiện tại của bức thư sẽ được hiển thị trong hai mục đầu tiên.
Thư được mã hóa Bằng cách nhấp vào biểu tượng mũi tên bên cạnh, bạn có thể buộc gửi email được mã hóa hoặc không được mã hóa. Bạn phải thêm chữ ký vào email được mã hóa để người nhận có thể xác minh rằng bạn thực sự đã gửi email.
6. Nhận email được mã hóa
Để gửi cho bạn một email bảo mật bằng mật mã, bạn cần sử dụng Enigmail (hoặc một giải pháp tương thích OEP-PGP khác, chẳng hạn như Claws Mail) và khóa chung của bạn, bạn nên gửi email này trong một email không được mã hóa cho người gửi trong tương lai. Bấm vào thư trên Enigmail | Đính kèm khóa công khai của tôi. Khi bạn nhận được một email được mã hóa, Enigmail sẽ yêu cầu bạn nhập mật khẩu.
Đó là tất cả. Với sự trợ giúp của các bước được mô tả ở trên, bạn sẽ có thể tin cậy. Nếu bạn thích bài viết, hãy nhấp vào nút truyền thông xã hội của bạn. mạng và đăng ký theo dõi tin tức trang web trên mạng xã hội.
Bất chấp tất cả các khả năng của phần mềm chống vi-rút và plugin trình duyệt, mã hóa email vẫn có liên quan. cần thiết để bảo vệ thông tin bí mật của bạn trong quá trình vận chuyển.
Mức độ liên quan của mã hóa email được xác định bởi khả năng kẻ tấn công tìm ra thông tin bí mật của bạn, thay đổi hoặc đơn giản là xóa thông tin đó. Hãy tưởng tượng bạn đang gửi một hợp đồng, thỏa thuận hoặc báo cáo cho đối tác kinh doanh của mình. Kẻ tấn công có thể chặn tin nhắn của bạn và tìm ra số tiền giao dịch, thay đổi thông tin đã gửi hoặc đơn giản là xóa tin nhắn. Không có kết quả nào trong số này có lợi cho bạn.
Mã hóa email là bắt buộc, nếu bạn đang gửi dữ liệu quan trọng và bí mật. Hãy dành một chút thời gian để mã hóa thư từ của bạn và từ đó bảo vệ nó một cách đáng tin cậy.
Phương pháp mã hóa thư
Có nhiều cách khác nhau để mã hóa thư. Những cách cơ bản nhất là thỏa thuận với người nhận rằng bạn sẽ thay thế một số số này bằng số khác hoặc gửi dữ liệu theo từng phần. Tất cả điều này là bất tiện và không hiệu quả.
Để bảo vệ hiệu quả thư từ nó là cần thiết để sử dụng các chương trình đặc biệt. Rất cách phổ biến và đáng tin cậy là mã hóa riêng dữ liệu thông qua các chương trình đặc biệt và đính kèm dữ liệu này dưới dạng tệp đính kèm vào thư. Để làm điều này, bạn có thể sử dụng WinRAR, TrueCrypt, dsCrypt
Đặt mật khẩu qua WinRAR
WinRAR là một chương trình rất phổ biến để lưu trữ dữ liệu. Khi tạo một kho lưu trữ, bạn có thể đặt mật khẩu cho nó. Phương pháp này rất đơn giản và khá hiệu quả. Nếu bạn đặt mật khẩu mạnh cho kho lưu trữ thì việc tìm hiểu thông tin sẽ vô cùng khó khăn. Mô tả chi tiết về cách đặt mật khẩu vào kho lưu trữ bằng WinRAR hoặc 7-Zip.
Tạo vùng chứa TrueCrypt được mã hóa
Mã hóa dữ liệu qua dsCrypt
dsCrypt là một chương trình mã hóa dữ liệu miễn phí sử dụng thuật toán mã hóa AES. dsCrypt là một chương trình nhẹ không cần cài đặt.
Để mã hóa, hãy kéo tài liệu được mã hóa vào cửa sổ chương trình và đặt mật khẩu.
Kết quả là bạn nhận được một tệp bảo mật ở định dạng DCS và đính kèm nó vào thư.
Người nhận khởi chạy chương trình dsCrypt, chuyển sang chế độ giải mã (bạn cần nhấp vào nút chế độ), kéo tệp được mã hóa vào cửa sổ và nhập mật khẩu.
Mọi thứ đều nhanh chóng, dễ dàng và đơn giản. dsCrypt có nhiều cài đặt khác nhau, bao gồm cả chế độ Secure PassPad, chế độ này bảo vệ mật khẩu khỏi các chương trình keylogger.
Ứng dụng email được mã hóa MEO Mã hóa tệp
– một bộ mã hóa miễn phí có chức năng gửi thư. Nó rất thuận tiện để sử dụng nếu bạn liên lạc với một nhóm đối tác kinh doanh thường xuyên. Tải xuống mã hóa tệp MEO
Có 3 nút trong cửa sổ chương trình chính: Mã hóa tệp, Mã hóa email và Giải mã tệp.
Quá trình mã hóa, như trong các chương trình đã thảo luận trước đó, tập trung vào việc chọn tệp và đặt mật khẩu.
Để gửi thư qua thư, bạn cần chỉ định tài khoản SMTP trong cài đặt chương trình.
Giờ đây, bạn có thể gửi thư giống như từ bất kỳ ứng dụng email nào khác và chỉ định trong tệp đính kèm các tệp và thư mục cần được mã hóa và gửi. Rất thuận tiện, tiết kiệm thời gian tốt.
Phần kết luận
Tất nhiên, có nhiều cách để mã hóa email, nhưng các phương pháp được trình bày trong bài viết này là dễ sử dụng nhất và có thể cung cấp mức mã hóa email thích hợp.
