Приватность в электронной почте: нам нужно использовать шифрование по умолчанию

в 8:48, , рубрики: GnuPG, OpenPGP, pgp, S/MIME, информационная безопасность, конфиденциальность, криптография, мессенджеры, приватность, шифрование, электронная почта
Приватность в электронной почте: нам нужно использовать шифрование по умолчанию - 1

Связь по электронной почте

В наши дни связь между людьми, учреждениями, компаниями и организациями является цифровой.

Согласно взятой из веба статистики, электронные письма генерируют ежедневный трафик, объём которого склонен к росту:

2021 год 2022 год 2023 год 2024 год 2025 год
319,6 333,2 347.3 361.6 376,4
Ежедневный трафик в миллиардах электронных писем компаний и потребителей. Источник: www.radicati.com

То есть в 2022 году ожидается ежедневный трафик в 333,2 миллиарда писем (или приблизительно 333200000000).

Однако нас удивляет не столько огромный объём почтового трафика, сколько совершеннейшая неосведомлённость пользователей о необходимости защиты содержимого каждого письма.

На самом деле, большая доля писем в ежедневном трафике отправляется обычным текстом, без применения криптографических систем, защищающих содержимое каждого сообщения.

По нашему мнению, отправляемые нами письма всегда должны шифроваться по умолчанию, вне зависимости от того, личные они или деловые; такого различия быть не должно, поскольку принцип конфиденциальности переписки не делает никаких различий.

Нет необходимости подробно рассказывать о соответствующих юридических нормах (по крайней мере, на уровне Европы), регулирующих конфиденциальность и защиту личных данных. В Европе права на конфиденциальность и защиту данных являются фундаментальными.

Наверно, стоит задаться вопросом, почему в 2022 году люди по-прежнему не пользуются системами шифрования для обмена почтой, но в то же время озадачиваются выбором приложений для мгновенного обмена сообщениями, использующими протоколы защиты. Складывается такое ощущение, что больше внимания уделяется безопасности связи в мессенджерах, но меньше — связи по электронной почте.

Считается, что безопасность является синонимом защиты, а, следовательно, и конфиденциальности. В реальности же это совершенно разные и взаимодополняющие концепции. Справедлив следующий постулат:

Безопасность ≠ Приватность

По какой причине с точки зрения приватности и безопасности связи нам следует больше беспокоиться о мгновенных сообщениях и меньше волноваться об электронной почте?

Приложения для мгновенного обмена сообщениями и приватность

Мы уже писали о самых популярных программах для мгновенного обмена сообщениями (WhatsApp, Signal, Telegram) и о создаваемых ими рисках, не только по причинам безопасности, но в первую очередь из-за отсутствия у пользователя полного контроля над своими личными данными.

Странно видеть, насколько легкомысленно используются приложения для мгновенного обмена сообщениями в публичном и частном секторах и теми, кто занимает руководящие должности.

Общественные деятели и даже люди на руководящих должностях должны воздержаться от пользования приложениями наподобие WhatsApp, которые основаны на централизованных системах и не позволяют пользователю иметь полный контроль над своими данными и содержимым сообщений. У общественных деятелей и руководителей есть адреса электронной почты с собственным доменом для общения. Однако личные смартфоны часто используются не только для личных нужд, но и для работы. Мы не считаем, что это верное решение.

Однако в первую очередь вам стоит задаться вопросом, знают ли пользователи приложений наподобие WhatsApp о судьбе метаданных, даже если содержимое сообщений шифруется.

Особого внимания к содержимому сообщений в первую очередь следует ожидать от общественных лиц и руководителей, с точки зрения не только безопасности, но и соответствия требованиям по защите личных данных и приватности.

Сколько утечек данных произошло из-за пересылки сообщений или скриншотов?

При обмене сообщениями такие люди (а также получатели сообщений) совершенно зависимы от компаний, разработавших приложения. У них нет полного контроля за их личными данными при использовании централизованных систем.

Получение сообщений через приложения для мгновенного обмена сообщениями наподобие WhatsApp вызывает у нас чрезвычайную озабоченность, и это только одна из причин, по которым мы решили не пользоваться ими.

Беспокоитесь ли вы о конфиденциальности содержимого ваших электронных писем?

Мы не собираемся пропагандировать приватность, однако люди, как уже много раз говорилось, часто недооценивают уровень приватности и безопасности связи.

Иногда люди необоснованно заявляют, что им нечего скрывать, а значит, их нужно «освободить» от приватности.

В этом случае будет полезно упомянуть хорошо известное заявление Эдварда Сноудена, который в ответ на подобные утверждения сказал следующее:

«Утверждать, что тебя не волнует право на приватность только потому, что тебе нечего скрывать — это то же самое, что сказать: меня не волнует свобода слова потому, что мне нечего сказать». (Эдвард Сноуден)

Немыслимо, что даже сегодня мы не понимаем, насколько болезненна проблема конфиденциальности передаваемого содержимого, и что мы не выработали этической сознательности, позволившей бы нам включить шифрование по умолчанию.

Сознательность также означает наличие глубокого уважения к получателям передаваемых нами сообщений.

Возможно ли, что мы настолько поверхностны, что не уделяем внимания подобным критическим аспектам?

Вероятно, многие люди не знают, как достичь этой цели, или они до сих пор нерешительны.

На этом этапе стоит задаться вопросом "Каково же решение?".

Мы можем ответить на него, описав некоторые из доступных сегодня ИТ-решений.

GnuPG — OpenPGP

Шифровать сообщения электронной почты можно при помощи подписи и ключей шифрования для каждого адреса.

Мы имеем в виду GnuPG (GNU Privacy Guard). На сайте проекта написано, что это "бесплатный ресурс, являющийся реализацией стандарта OpenGPG RFC4880".

На сайте OpenPGP можно найти следующее:

OpenPGP — это самый широко используемый стандарт шифрования электронной почты. Он описан OpenPGP Working Group совета Internet Engineering Task Force (IETF) в качестве предлагаемого стандарта в документе RFC 4880. Изначально OpenPGP создавался на основе ПО PGP, созданного Филом Циммерманом.

Как мы сказали, в GnuGP реализован стандарт OpenPGP, а на его сайте написано следующее:

GnuPG — это инструмент командной строки без графического интерфейса пользователя. Это универсальный криптографический движок, который можно использовать напрямую из командной строки, из скриптов командной оболочки или из других программ. Поэтому GnuPG часто используется как криптографический бэкенд других приложений.

Даже при работе в командной строке он предоставляет всю необходимую функциональность, в том числе и систему интерактивных меню. Множество команд этого инструмента всегда будет надмножеством команд, предоставляемых любым фронтендом.

Это инструмент, который можно использовать с командами shell-bash в терминале.

Например, при работе с MailMate в случае получения зашифрованного сообщения электронной почты клиент выполняет следующую команду:

/usr/local/bin/gpg --no-verbose --batch --no-tty --compliance "openpgp" --status-fd 2 --verify "path/filename" -

Также GnuPG доступен для различных операционных систем в пакетах.

Веб-сайт GnuPG ссылается на веб-сайт Email Self-Defense, где есть полное руководство по настройке соответствующих параметров.

В macOS можно установить GnuPG при помощи Homebrew следующей командой

brew install gnupg gnupg2

Пользователи macOS также могут установить GPG Suite, полный пакет доступен и для Monterey.

После установки GPG Suite можно запустить приложение GPG Keychain, чтобы создать ключи для каждого адреса электронной почты.

После создания ключей пользователь может решить, загружать ли ключ на сервер.

Сразу же после создания ключей пользователь получит письмо от сервера https://keys.openpgp.org, который называют «публичным сервисом для распространения и поиска совместимых с OpenPGP ключей, стандартно называемым keyserver».

После этого, настроив свой клиент электронной почты, вы сможете отправлять подписанные и зашифрованные электронные письма. GPG Suite также содержит плагин для Apple Mail, но за него придётся заплатить.

Подписывание, шифрование и дешифрование писем в клиентах наподобие MailMate выполняется без установки GPG Suite, потому что они управляют процессами непосредственно командами gnupg.

Всего за несколько этапов вы сможете сконфигурировать свою систему так, чтобы она могла отправлять и получать зашифрованные электронные письма.

Для iOS можно найти совместимые с этим стандартом приложения на веб-сайте OpenPGP.

В iOS необходимо использовать приложение, поддерживающее стандарт OpenPGP. Из перечисленных на сайте OpenPGP приложений мы протестировали Canary Mail (также доступное под Mac) и iPGMail.

Сертификаты S/MIME

Наряду с представленными выше решениями можно приобрести у Certification Authority сертификат S/MIME, позволяющий подписывать, шифровать и дешифровать содержимое электронных писем. С сертификатом S/MIME можно отправлять зашифрованные письма только если получатель тоже имеет сертификат S/MIME (по сути, невозможно отправить зашифрованные письма от отправителя с OpenPGP получателю с S/MIME).

ProtonMail

Пользователям ProtonMail не нужно делать того, что описано в предыдущем разделе, потому что в решении швейцарской компании уже содержится система шифрования, позволяющая пользователю выбирать между PGP/MIME или между PGP/Inline.

Пользователи ProtonMail могут отправлять зашифрованные письма получателям ProtonMail или внешним пользователям.

Выводы

В заключение мы хотели бы подчеркнуть необходимость использования по умолчанию решений, позволяющих обмениваться зашифрованными электронными письмами. Каждого пользователя должна волновать безопасность его связи и он должен предпринимать соответствующие шаги.

Автор:
PatientZero

Источник


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js