El. paštas yra labiausiai paplitęs būdas bendrauti internete – galbūt net planetoje. Jis integruotas į beveik viską, pradedant telefonais ir planšetiniais kompiuteriais, baigiant tradiciniais kompiuteriais ir baigiant žaidimų įrenginiais – po velnių, net prijungta buitinė technika ir automobiliai gali siųsti el. Dar svarbiau, kad būti „internete“ reiškia turėti el. pašto adresą (arba keliasdešimt); jie yra mūsų asmens dokumentai, kaip užsiregistruojame, kaip gauname pranešimus ir kartais net bendraujame vieni su kitais. El. paštas yra originali „žudikų programa“.
Tačiau el. paštas nebuvo sukurtas su bet koks privatumą ar saugumą. Buvo daug pastangų, kad el. paštas būtų saugesnis, tačiau neseniai buvo išjungtos itin populiarios saugios el. pašto paslaugos, pvz., Lavabit (pranešama, kad naudojo NSA informacijos nutekėjęs Edwardas Snowdenas) ir Tylus ratas po vyriausybės priežiūros programų pabrėžia sunkumus. El. pašto saugumo trūkumas taip pat sukelia netikėtų papildomų nuostolių, pavyzdžiui, paskelbtas gerbiamo programinės įrangos ir teisės tinklaraščio uždarymas. GrokLaw.
Rekomenduojami vaizdo įrašai
Ar el. pašto saugumas beviltiškas? Ar žiūrime į interneto žudikų programos pabaigą?
Kodėl el. paštas nėra saugus?
El. paštas nėra saugus, nes niekada neturėjo būti mūsų skaitmeninio gyvenimo centru. Jis buvo sukurtas, kai internetas buvo daug mažesnė vieta, skirta standartizuoti paprastus saugojimo ir persiuntimo pranešimus tarp žmonių, naudojančių įvairius kompiuterius. El. paštas buvo perduotas visiškai atvirai – viską galėjo perskaityti visi, kas galėjo stebėti tinklo srautą ar pasiekti paskyras (iš pradžių net slaptažodžiai nebuvo užšifruoti). Nuostabu, kad el. laiškas, išsiųstas tais plačiais būdais, vis dar (dažniausiai) veikia.
Šiandien yra keturios pagrindinės vietos, kuriose daugumos žmonių el. paštas gali būti pažeistas:
- Jūsų įrenginyje (-iuose)
- Tinkluose
- Serveryje (-iuose)
- Gavėjo įrenginyje (-iuose)
Pirmoji ir paskutinė vieta – įrenginiai – lengvai suprantamos. Jei kas nors gali sėdėti prie jūsų kompiuterio, paimti jūsų telefoną ar perbraukti per planšetinį kompiuterį, tikėtina, kad jūsų el. laiškas bus čia pat, kad jie galėtų skaityti – daryti naudoti užrakinimo ekraną arba slaptažodį savo įrenginiuose, tiesa? Tas pats pasakytina ir apie jūsų gavėjų įrenginius. Tačiau net slaptažodžiai ir užrakinimo ekranai kartais nelabai padeda. Nors kelios el. pašto programos užšifruoja įrenginyje saugomus el. pašto pranešimus, dauguma jų to nedaro. Tai reiškia, kad bet kas (arba bet kuri programa), galinti pasiekti įrenginio vidinę atmintį, tikriausiai taip pat gali skaityti el. laiškus ir pasiekti failų priedus. Skamba toli gražu? Tai nebūtinai turi būti asmuo; el. paštu yra vienas iš labiausiai paplitusių kenkėjiškų programų dalykų.
Tinklai yra šiek tiek sunkiau suprantami ir apima tris pagrindines nuorodas:
- Jūsų ryšys su el. pašto paslaugų teikėju (nesvarbu, ar tai būtų jūsų IPT, Google, Outlook, Yahoo, Apple ar kas nors kitas)
- Bet kokie tinklo ryšiai tarp pašto paslaugų teikėjas ir gavėjas
- Jūsų gavėjo tinklo ryšys su el. pašto paslaugų teikėju.
Jei siunčiate el. laišką kam nors per tą pačią paslaugą, kurią naudojate (tarkime, Outlook.com), turite bent pirmąjį ir trečias galimas tinklo pažeidžiamumas: jūsų ryšys su Outlook.com ir gavėjo ryšys su Outlook.com. Jei jūsų gavėjo el. pašto adresas yra kitur (tarkime, įmonėje ar mokykloje), turite dar bent vieną: ryšį tarp Outlook.com ir jūsų gavėjo el. pašto teikėjo. Tinklo topografijos tikrovė reiškia, kad kiekviena iš šių jungčių apima keletą maršrutizatorių ir jungiklių (galbūt keliolika ar daugiau), tikriausiai priklausančių ir valdomų skirtingų įrenginių. Jei vienas ryšys yra saugus, niekas negarantuoja kitas ryšys seka yra saugus. Ir jei esate susirūpinę dėl tokių dalykų kaip NSA PRISM stebėjimo programa, kol kas rodo, kad kai kurie iš jų vyksta šiuose laikinuosiuose tinklo taškuose.
El. paštas nebuvo sukurtas naudojant bet koks privatumą ar saugumą.
Serveriai yra jūsų el. pašto teikėjo arba IPT įrenginiai, kurie fiziškai saugo jūsų el. paštą. Jei kas nors nulaužtų (arba atspėtų, ar pavogs) jūsų el. pašto slaptažodį, greičiausiai jiems jūsų įrenginiai nereikalingi; jie gali tiesiogiai prisijungti prie jūsų el. pašto paslaugų teikėjo ir perskaityti visus ten saugomus el. Tai gali būti tik keli pranešimai, tačiau tai gali būti savaičių, mėnesių ar metų el. laiškas, įskaitant bent kai kuriuos pranešimus, kuriuos ištrynėte. Tačiau tai ne vienintelė rizika. Dauguma el. pašto paslaugų išsaugo jūsų pranešimus kaip paprastą tekstą. Taigi, bet kuris užpuolikas, galintis pasiekti tuos serverius (tarkime, per saugos trūkumą arba pavogęs administratoriaus slaptažodį), gali lengvai pasiekti visus saugomus el. laiškus ir priedus. Kodėl paslaugų teikėjai neapsaugo saugomų el. Iš dalies dėl papildomų išlaidų, kurios atsirastų, tačiau nešifruotas el. laiškas leidžia žmonėms ieškoti savo žinučių (mėgstate ieškoti pašto adresą, tiesa?) ir įgalina paslaugas, pvz., „Gmail“, automatiškai nuskaityti paštą ir ieškoti raktinių žodžių, kad būtų galima parduoti reklamą (o jums patinka reklamuoti, tiesa?).
Šifravimas į pagalbą!
Geriausias būdas apsaugoti ryšius yra juos užšifruoti: iš esmės šifruojant duomenis su kompleksais matematines transformacijas, todėl tai suprantama tik naudojant teisingą slaptažodį ar kitus kredencialus. Įprasta šifravimo forma yra viešojo rakto kriptografija, kai žmonės (arba IPT ar įmonės) atiduoda viešąjį raktą, kurį gali bet kas. naudoti jiems skirtiems duomenims koduoti, tačiau juos galima iššifruoti tik naudojant privatų raktą, kurį saugo asmuo (arba IPT ar įmonė). paslaptis.
Viešojo rakto kriptografija yra dviejų pagrindinių būdų apsaugoti el. paštą pagrindas:
- Laiškų šifravimas
- Tinklo ryšių šifravimas
Laiškų šifravimas
Šifruotų pranešimų idėja yra nesudėtinga: užuot siuntę paprastą tekstą, kurį gali perskaityti visi, siunčiate užšifruotą gobbledegook, kurį gali skaityti tik numatytas gavėjas. Įprasti el. pašto šifravimo įrankiai: PGP (dabar komercinis Symantec produktas) ir daug pagrindinių programų bei įrankių, palaikančių atvirojo kodo OpenGPG ir S/MIME.
Pranešimų šifravimas yra paprasta idėja, tačiau šis metodas turi privalumų ir trūkumų. Teigiama yra tai, kad užšifruoti pranešimai yra apsaugoti tiek tinkluose, tiek serveriuose, net jei jie pažeisti arba išsaugo pranešimus kaip paprastą tekstą. (Tačiau dėl gobbledegook „Gmail“ gali rodyti keistus skelbimus!) Pranešimas tikriausiai taip pat užšifruotas jūsų įrenginyje ir gavėjo įrenginiuose (kol jie jo iššifruos), o tai suteikia papildomos apsaugos. Tai viskas gerai.
Dabar minusai. Atskirų pranešimų šifravimas yra kančia. Turite turėti viešąjį raktą Visi norite saugiai bendrauti. Vienam ar dviem žmonėms tai nėra blogai, tačiau dauguma žmonių turi dešimtis (ar šimtus) kontaktų. Nebus lengva juos visus sukurti ir paleisti naudojant viešojo rakto kriptografiją.
Be to, visi norintys siunčia tu saugiam el. paštui reikalingas viešasis raktas! Galite išsiųsti jį el. paštu, bet tai nebus užšifruota, todėl nesaugu. Tas pats su tinklaraščio įrašu ar Facebook puslapiu, raktų serverio paslaugomis ar bet kokiu kitu nesaugiu kanalu. Vienintelis tikrai saugus būdas keistis viešaisiais raktais yra akis į akį arba kitu būdu nuoširdžiai įsitikinkite, kad gaunate tinkamą raktą iš tinkamo asmens. Tai gali būti nepaprastai nepraktiška. Kai kurie žmonės, siunčiantys jums neskelbtinus el. laiškus, pvz., bankai, kredito kortelių bendrovės, ligoninės, mokyklos ar vietinė vaisingumo klinika – tikriausiai nenaudos (arba nežinos, kaip) naudoti jūsų viešąjį raktą, net jei turėjo tai. Apibendrinant galima pasakyti, kad daugelis jūsų el. pašto pranešimų nebus šifruojami, todėl pranešimų šifravimas nėra bendras saugaus el. pašto sprendimas.
Bet palauk! Laiškų šifravimas turi ir daugiau minusų. Tik žinutė turinį (ir priedai, jei yra) yra užšifruoti. Antraštės informacija (įskaitant jūsų adresą, gavėjo adresą, temą, datą ir kt.) yra paprastas tekstas, kurį gali perskaityti visi. Ši informacija gali būti tik metaduomenys, tačiau laikui bėgant ji gali sudaryti stebėtinai išsamų jūsų veiklos internete vaizdą. (Tiesiog paklausk NSA!) Norite dar vieno minuso? Pabandykite prisijungti prie savo žiniatinklio pašto ir šifruotame pašte ieškoti telefono numerio arba adreso.
Ryšių šifravimas
Vargas su šifruotais pranešimais reiškia, kad daugiausia dėmesio el. pašto apsaugai buvo skirta tinklo ryšių šifravimui. Pagrindinė idėja yra tokia pati, kaip naudojant saugią svetainę, pvz., jūsų banką ar Amazon.com. Kai prisijungiate prie el. pašto paslaugų teikėjo, jūsų programinė įranga naudoja Transport Layer Security (TLS, dar geriau žinomą kaip SSL), kad užšifruotų ryšį tarp jūsų įrenginio ir paslaugos. Jis netgi rūpinasi raktų keitimu: dauguma įrenginių šiandien yra iš anksto įdiegti su sertifikatų institucijoms skirtais raktais, iš kurių jie gali atsisiųsti autentifikuoti raktai svetainėms ir paslaugoms netrukdant naudotojams: jokio nerimo, jokio šurmulio, jokio skrydžio į Australiją keistis viešaisiais raktais kas nors. Pagrindinė technologija elektroninėje prekyboje veikė beveik du dešimtmečius.
Ši informacija gali būti tik metaduomenys, tačiau laikui bėgant ji gali sudaryti stebėtinai išsamų jūsų veiklos internete vaizdą.
Užšifravus ryšį tarp jūsų ir jūsų el. pašto paslaugų teikėjo, niekas tinkle negali peržiūrėti jūsų siunčiamų ar gaunamų el. pašto pranešimų: visa tai yra gobbledegook. Tai apsaugo jus nuo šliaužimo vietiniame „Wi-Fi“ tinkle ir net slaptų vyriausybės čiaupo duomenų centre kažkur pakeliui.
Tačiau kai pranešimas pasieks jūsų el. pašto paslaugų teikėją, visi statymai išjungti. Dažniausiai jūsų el. pašto paslaugų teikėjas išsaugo pranešimo duomenis kaip paprastą tekstą (žr. aukščiau), nors yra išimčių, pvz., Kanados Hushmail. Ir jei jūsų gavėjas naudojasi kito el. pašto teikėjo ar IPT, jūsų žinutė gali būti (ir tikriausiai yra!) jam perduota internetu kaip senosios mokyklos paprasto teksto el. laiškas. Vis daugiau el. pašto paslaugų naudoja TLS, kad užšifruotų tarpusavio ryšius, tačiau didžiulis dauguma pasaulio el. pašto serverių vis dar keičiasi pranešimais be šifravimo – ir jūs negalite žinoti. Be to, nėra aišku, ar jūsų gavėjas naudos apsaugotą ryšį, kad gautų ar atsakytų į jūsų el. laišką. Galbūt apsisaugojote save nuo šliaužimo viešajame „Wi-Fi“ tinkle, bet ar jūsų gydytojas ar buhalteris? O gal ir ne.
Ar el. paštas pasmerktas?
El. paštas greitai neišnyks. Tai per daug naudinga, o beveik universali būsena beveik kiekviename įrenginyje ir paslaugoje užtikrina, kad el. paštas bus su mumis daugelį metų.
Bet saugus paštu? Esmė ta, kad el. paštas toks, kokį žinome šiandien niekada buvo saugūs, o daugybė būdų, kaip siunčiame, gauname, saugome ir naudojame el. laiškus, leidžia visiškai apsaugoti el labai sunki problema. Geriausiu atveju.
Galime sukurti naujas saugias pranešimų paslaugas, kurios galėtų pakeisti el. Štai ką Tylus ratas padarė su savo šifruoto ryšio paslauga, ir tikriausiai tai, ką BlackBerry padarė su BBM ir ką Apple galėjo padaryti su iMessage. Nepaisant to, vyriausybės prašo atskleisti šias paslaugas, nors „Silent Circle“ imasi įdomaus žingsnio, nes gali atsakyti beveik nieko. Dar svarbiau yra tai, kad nė vienas el. paštas greičiausiai nebus plačiai paplitęs ir beveik visur pasiekiamas bet kuriuo vidutinės trukmės ar net ilgalaikio laikotarpio metu. Tikimės, kad sunkumai nesutrukdys žmonėms stengtis – o Kim Dotcomo Mega jau yra mesdama kepurę į ringą.
Tačiau artimiausioje ateityje interneto vartotojai negali tikėtis, kad el. paštas bus apsaugotas nuo smalsių akių ar perimimo. Laikotarpis.
Aukščiausias vaizdas, sutikimas su Shutterstock/3 sapnai
