Email tidak aman; inilah alasannya

Email adalah metode komunikasi yang paling banyak digunakan di Internet – bahkan mungkin di planet ini. Ini terintegrasi pada hampir semua hal, mulai dari ponsel dan tablet, komputer tradisional, hingga perangkat game – bahkan peralatan rumah tangga dan mobil yang terhubung pun dapat melakukan email. Lebih penting lagi, berada “di Internet” berarti memiliki alamat email (atau lusinan alamat email); itu adalah ID kami, cara kami mendaftar, cara kami menerima pemberitahuan, dan terkadang bahkan berkomunikasi satu sama lain. Email adalah “aplikasi pembunuh” yang asli.

Tapi email tidak dirancang dengan setiap privasi atau keamanan dalam pikiran. Ada banyak upaya untuk membuat email lebih aman, namun baru-baru ini penutupan layanan email aman yang dipuji-puji seperti itu lavabit (dilaporkan digunakan oleh pembocor NSA Edward Snowden) dan Lingkaran Diam setelah program pengawasan pemerintah menyoroti kesulitan-kesulitan tersebut. Kurangnya keamanan email juga menimbulkan beberapa dampak buruk yang mengejutkan, seperti diumumkannya penutupan perangkat lunak dan blog hukum tersebut

Apakah keamanan email tidak ada harapan? Apakah kita sedang melihat akhir dari aplikasi mematikan di Internet?

Mengapa email tidak aman?

Email tidak aman karena email tidak pernah dimaksudkan untuk menjadi pusat kehidupan digital kita. Ini dikembangkan ketika Internet masih merupakan tempat yang jauh lebih kecil untuk menstandarisasi pesan simpan-dan-teruskan yang sederhana antara orang-orang yang menggunakan berbagai jenis komputer. Semua email ditransfer sepenuhnya secara terbuka – semuanya dapat dibaca oleh siapa saja yang dapat memantau lalu lintas jaringan atau mengakses akun (awalnya bahkan kata sandi pun tidak dienkripsi). Hebatnya, email yang dikirim menggunakan metode terbuka lebar tersebut (kebanyakan) masih berfungsi.

Saat ini, ada empat tempat dasar dimana email kebanyakan orang dapat disusupi:

• Di perangkat Anda
• Di jaringan
• Di server
• Di perangkat penerima Anda

Tempat pertama dan terakhir – perangkat – mudah dimengerti. Jika seseorang dapat duduk di depan komputer Anda, mengambil ponsel Anda, atau menggesek tablet Anda, kemungkinan besar email Anda ada di sana untuk dibaca – Anda Mengerjakan gunakan layar kunci atau kata sandi di perangkat Anda, bukan? Hal yang sama berlaku untuk perangkat penerima Anda. Namun kata sandi dan layar kunci terkadang tidak banyak membantu. Meskipun beberapa program email mengenkripsi pesan email yang disimpan di perangkat, sebagian besar tidak. Itu berarti siapa pun (atau program apa pun) yang dapat mengakses penyimpanan internal perangkat mungkin juga dapat membaca email dan mendapatkan lampiran file. Terdengar tidak masuk akal? Tidak harus seseorang; mengobrak-abrik email adalah salah satu hal paling umum yang dilakukan malware.

Jaringan sedikit lebih sulit untuk dipahami, dan mencakup tiga tautan dasar:

• Koneksi Anda ke penyedia email Anda (baik ISP Anda, Google, Outlook, Yahoo, Apple, atau orang lain)
• Koneksi jaringan apa pun di antara penyedia email dan penerima Anda
• Koneksi jaringan penerima Anda ke penyedia email mereka.

Jika Anda mengirim email ke seseorang di layanan yang sama dengan yang Anda gunakan (misalnya, Outlook.com), Anda setidaknya memiliki yang pertama dan potensi kerentanan jaringan ketiga: koneksi Anda ke Outlook.com dan koneksi penerima Anda ke Outlook.com. Jika email penerima Anda berada di tempat lain (misalnya perusahaan atau sekolah) maka Anda memiliki setidaknya satu lagi: koneksi antara Outlook.com dan penyedia email penerima Anda. Realitas topografi jaringan berarti setiap koneksi tersebut melibatkan serangkaian router dan switch (mungkin selusin atau lebih), mungkin dimiliki dan dioperasikan oleh pihak yang berbeda. Jika satu koneksi aman, tidak ada jaminan apa pun lainnya koneksi dalam urutan aman. Dan jika Anda mengkhawatirkan hal-hal seperti program pengawasan PRISM NSA, sejauh ini ada indikasi bahwa beberapa di antaranya terjadi di titik jaringan sementara ini.

Server adalah mesin di penyedia email atau ISP Anda yang secara fisik menyimpan email Anda. Jika seseorang memecahkan (atau menebak, atau mencuri) kata sandi email Anda, mereka mungkin tidak memerlukan perangkat Anda; mereka dapat masuk ke penyedia email Anda secara langsung dan membaca email apa pun yang disimpan di sana. Itu mungkin hanya beberapa pesan, tapi bisa juga berupa email berminggu-minggu, berbulan-bulan, atau bertahun-tahun – termasuk setidaknya beberapa pesan yang telah Anda hapus. Tapi itu bukan satu-satunya risiko. Sebagian besar layanan email menyimpan pesan Anda sebagai teks biasa. Jadi, penyerang mana pun yang dapat mengakses server tersebut (misalnya, melalui kelemahan keamanan atau dengan mencuri kata sandi admin) dapat dengan mudah mengakses semua email dan lampiran yang disimpan. Mengapa penyedia tidak melindungi email yang disimpan? Sebagian karena biaya overhead yang akan timbul, tetapi menyimpan email tidak terenkripsi memungkinkan orang mencari pesan mereka (Anda ingin mencari email Anda, bukan?) dan memungkinkan layanan seperti Gmail memindai email secara otomatis untuk mencari kata kunci guna menjual iklan (dan Anda menyukai iklan, Kanan?).

Enkripsi untuk menyelamatkan!

Cara terbaik untuk melindungi komunikasi adalah dengan mengenkripsinya: pada dasarnya, mengacak data dengan rumit transformasi matematis sehingga hanya dapat dipahami menggunakan kata sandi yang benar atau kredensial lainnya. Bentuk enkripsi yang umum adalah kriptografi kunci publik, di mana orang (atau ISP atau perusahaan) memberikan kunci publik yang dapat diakses oleh siapa saja. digunakan untuk mengacak data yang ditujukan untuk mereka, namun hanya dapat didekodekan menggunakan kunci pribadi yang disimpan oleh orang tersebut (atau ISP atau perusahaan) rahasia.

Kriptografi kunci publik adalah dasar dari dua cara utama untuk melindungi email:

• Mengenkripsi pesan
• Mengenkripsi koneksi jaringan

Mengenkripsi pesan

Ide di balik pesan terenkripsi sangat jelas: alih-alih mengirim teks biasa yang dapat dibaca siapa pun, Anda mengirim gobbledegook acak yang hanya dapat dibaca oleh penerima yang dituju. Alat umum untuk mengenkripsi email meliputi PGP (sekarang merupakan produk komersial dari Symantec) dan berbagai aplikasi serta alat utama yang mendukung open source OpenGPG dan S/MIME.

Mengenkripsi pesan adalah ide yang mudah, namun pendekatan ini memiliki pro dan kontra. Sisi positifnya, pesan terenkripsi terlindungi di seluruh jaringan dan server, meskipun pesan tersebut disusupi atau menyimpan pesan sebagai teks biasa. (Namun, gobbledegook dapat membuat Gmail menampilkan beberapa iklan aneh!) Pesan tersebut mungkin juga dienkripsi di perangkat Anda dan perangkat penerima Anda (sampai mereka memecahkan kodenya), yang menawarkan perlindungan tambahan. Itu semua bagus.

Sekarang kerugiannya. Mengenkripsi pesan individual sangat merepotkan. Anda harus memiliki kunci publik setiap orang Anda ingin berkomunikasi dengan aman. Untuk satu atau dua orang, itu tidak buruk, tetapi kebanyakan orang memiliki lusinan (atau ratusan) kontak. Mengaktifkan dan menjalankan semuanya dengan kriptografi kunci publik tidaklah mudah.

Selanjutnya, setiap orang yang ingin mengirim Anda email aman memerlukan kunci publik Anda! Anda dapat mengirimkannya kepada mereka melalui email… tapi itu tidak akan dienkripsi sehingga tidak aman. Sama dengan postingan blog atau halaman Facebook atau layanan server kunci atau saluran tidak aman lainnya. Satu-satunya cara yang benar-benar aman untuk bertukar kunci publik adalah secara tatap muka atau cara lain yang Anda bisa sungguh-sungguh yakin Anda mendapatkan kunci yang tepat dari orang yang tepat. Hal ini bisa jadi sangat tidak praktis. Beberapa orang yang mengirimi Anda email sensitif – seperti bank, perusahaan kartu kredit, rumah sakit, sekolah, atau klinik kesuburan setempat – mungkin tidak akan (atau tidak tahu caranya) menggunakan kunci publik Anda meskipun mereka sudah menggunakannya dia. Intinya, tidak banyak pesan email Anda yang akan dienkripsi, jadi mengenkripsi pesan bukanlah solusi umum untuk keamanan email.

Tapi tunggu! Ada lebih banyak kerugian dalam mengenkripsi pesan. Hanya pesannya isi (dan lampiran, jika ada) diacak. Informasi header (termasuk alamat Anda, alamat penerima, subjek, tanggal, dan lainnya) semuanya masih berupa teks biasa yang dapat dibaca siapa pun. Informasi tersebut mungkin hanya berupa metadata, namun seiring berjalannya waktu, informasi tersebut dapat memberikan gambaran yang sangat mendetail tentang aktivitas online Anda. (Hanya tanya NSA!) Ingin kerugian lainnya? Coba masuk ke email web Anda dan cari nomor telepon atau alamat melalui email terenkripsi.

Mengenkripsi koneksi

Kerumitan dengan pesan terenkripsi berarti sebagian besar fokus pengamanan email adalah mengenkripsi koneksi jaringan. Ide dasarnya sama dengan menggunakan situs Web yang aman seperti bank Anda atau Amazon.com. Saat Anda terhubung ke penyedia email, perangkat lunak Anda menggunakan Transport Layer Security (TLS, lebih dikenal sebagai SSL) untuk mengenkripsi koneksi antara perangkat Anda dan layanan. Ia bahkan menangani pertukaran kunci: sebagian besar perangkat saat ini sudah diinstal sebelumnya dengan kunci untuk otoritas sertifikat, tempat mereka dapat mengunduh kunci yang diautentikasi untuk situs dan layanan tanpa mengganggu pengguna: tidak perlu repot, tidak perlu repot, tidak perlu terbang ke Australia untuk bertukar kunci publik dengan seseorang. Teknologi dasar telah berfungsi untuk e-niaga selama hampir dua dekade.

Mengenkripsi koneksi antara Anda dan penyedia email berarti tidak ada seorang pun di jaringan tersebut yang dapat melihat pesan email yang Anda kirim atau terima: semuanya gobbledegook. Ini melindungi Anda dari gangguan pada jaringan Wi-Fi lokal dan bahkan penyadapan rahasia pemerintah di pusat data di suatu tempat di sepanjang jalan.

Namun, setelah pesan sampai ke penyedia email Anda, semua taruhan dibatalkan. Seringkali, penyedia email Anda menyimpan data pesan sebagai teks biasa (lihat di atas), meskipun ada pengecualian seperti di Kanada. Hushmail. Dan jika penerima Anda menggunakan penyedia email atau ISP lain, pesan Anda dapat (dan mungkin sedang!) dikirimkan kepada mereka melalui Internet sebagai email teks biasa. Semakin banyak layanan email yang menggunakan TLS untuk mengenkripsi koneksi di antara mereka, namun luas mayoritas server email di dunia masih bertukar pesan tanpa enkripsi – dan Anda tidak mungkin mengetahuinya. Selain itu, tidak diketahui apakah penerima Anda akan menggunakan koneksi terlindungi untuk menerima atau membalas email Anda. Anda mungkin telah melindungi dirimu sendiri dari jaringan Wi-Fi publik, tetapi apakah dokter atau akuntan Anda? Mungkin tidak.

Apakah email akan hancur?

Email tidak akan hilang dalam waktu dekat. Ini terlalu berguna, dan statusnya yang hampir universal di hampir semua perangkat dan layanan memastikan email akan tetap bersama kita selama bertahun-tahun.

Tetapi aman surel? Intinya adalah email yang kita kenal sekarang memilikinya tidak pernah sudah aman, dan berbagai cara kami mengirim, menerima, menyimpan, dan menggunakan pesan email menjadikan email aman sepenuhnya a sangat masalah yang sulit. Sebagus-bagusnya.

Kita dapat menciptakan layanan pesan aman baru yang dapat menggantikan email. Itulah yang terjadi Lingkaran Diam telah dilakukan dengan layanan komunikasi terenkripsinya, dan bisa dibilang itulah yang dilakukan BlackBerry dengan BBM dan apa yang mungkin dilakukan Apple dengan iMessage. Meskipun demikian, layanan-layanan ini tunduk pada permintaan pengungkapan dari pemerintah – meskipun Silent Circle mengambil langkah menarik karena mampu memberikan respons tanpa memberikan apa pun. Lebih penting lagi, tidak ada satu pun dari mereka yang memiliki jangkauan email yang luas dan hampir ada di mana-mana, dalam jangka menengah atau bahkan jangka panjang. Mudah-mudahan, kesulitan ini tidak akan menghentikan orang untuk mencoba – dan Mega dari Kim Dotcom sudah melakukannya melemparkan topinya ke dalam ring.

Namun, di masa mendatang, pengguna Internet tidak dapat mengharapkan email aman dari pengintaian atau intersepsi. Periode.

Gambar teratas milik stok foto/3 mimpi