อีเมลไม่ปลอดภัย นี่คือเหตุผล

อีเมลเป็นวิธีการสื่อสารที่แพร่หลายที่สุดบนอินเทอร์เน็ต แม้กระทั่งบนโลกนี้ด้วยซ้ำ มีอยู่ในเกือบทุกอย่าง ตั้งแต่โทรศัพท์และแท็บเล็ตไปจนถึงคอมพิวเตอร์แบบดั้งเดิมไปจนถึงอุปกรณ์เล่นเกม แม้แต่เครื่องใช้ภายในบ้านและรถยนต์ที่เชื่อมต่อก็สามารถส่งอีเมลได้ ที่สำคัญกว่านั้น การเป็น "บนอินเทอร์เน็ต" หมายถึงการมีที่อยู่อีเมล (หรือหลายสิบแห่ง) พวกเขาเป็น ID ของเรา วิธีที่เราลงทะเบียนสิ่งต่าง ๆ วิธีรับการแจ้งเตือน และบางครั้งก็สื่อสารถึงกัน อีเมลคือ "แอปนักฆ่า" ดั้งเดิม

แต่อีเมล์ไม่ได้ถูกออกแบบด้วย ใดๆ ความเป็นส่วนตัวหรือความปลอดภัยในใจ มีความพยายามมากมายที่จะทำให้อีเมลมีความปลอดภัยมากขึ้น แต่การปิดบริการอีเมลที่มีความปลอดภัยสูงเมื่อเร็วๆ นี้ เช่น ลาวาบิต (มีรายงานว่าใช้โดย Edward Snowden ผู้รั่วไหลของ NSA) และ วงกลมเงียบ จากโครงการเฝ้าระวังของรัฐบาลเน้นย้ำถึงความยากลำบาก การขาดความปลอดภัยของอีเมลยังสร้างความเสียหายที่น่าประหลาดใจอีกด้วย เช่น การประกาศปิดซอฟต์แวร์ที่น่าเชื่อถือและบล็อกกฎหมาย กร็อคลอว์.

ความปลอดภัยของอีเมลสิ้นหวังหรือไม่? เรากำลังดูจุดสิ้นสุดของแอปนักฆ่าบนอินเทอร์เน็ตหรือไม่?

เหตุใดอีเมลจึงไม่ปลอดภัย

อีเมลไม่ปลอดภัยเพราะไม่เคยถูกกำหนดให้เป็นศูนย์กลางของชีวิตดิจิทัลของเรา ได้รับการพัฒนาเมื่ออินเทอร์เน็ตมีขนาดเล็กกว่ามากเพื่อสร้างมาตรฐานการส่งข้อความแบบจัดเก็บและส่งต่อระหว่างผู้ใช้คอมพิวเตอร์ประเภทต่างๆ อีเมลทั้งหมดถูกถ่ายโอนแบบเปิดโดยสมบูรณ์ – ใครก็ตามที่สามารถรับชมการรับส่งข้อมูลเครือข่ายหรือเข้าถึงบัญชีสามารถอ่านทุกสิ่งได้ (แต่เดิมไม่มีการเข้ารหัสรหัสผ่านด้วยซ้ำ) น่าประหลาดใจที่อีเมลที่ส่งโดยใช้วิธีการแบบเปิดกว้างเหล่านั้นยังคงใช้งานได้ (ส่วนใหญ่)

ปัจจุบัน มีสี่จุดพื้นฐานที่อีเมลของคนส่วนใหญ่สามารถถูกโจมตีได้:

• บนอุปกรณ์ของคุณ
• บนเครือข่าย
• บนเซิร์ฟเวอร์
• บนอุปกรณ์ของผู้รับ

สถานที่แรกและสุดท้าย – อุปกรณ์ – นั้นง่ายต่อการเข้าใจ หากมีใครสามารถนั่งหน้าคอมพิวเตอร์ของคุณ หยิบโทรศัพท์ของคุณ หรือปัดนิ้วผ่านแท็บเล็ตของคุณ มีโอกาสที่อีเมลของคุณจะอยู่ตรงนั้นเพื่อให้พวกเขาอ่าน – คุณ ทำ ใช้หน้าจอล็อคหรือรหัสผ่านบนอุปกรณ์ของคุณใช่ไหม? สิ่งเดียวกันนี้เกิดขึ้นกับอุปกรณ์ของผู้รับของคุณ แต่บางครั้งรหัสผ่านและหน้าจอล็อคก็ไม่ได้ช่วยอะไรมากนัก แม้ว่าโปรแกรมอีเมลบางโปรแกรมจะเข้ารหัสข้อความอีเมลที่จัดเก็บไว้ในอุปกรณ์ แต่ส่วนใหญ่ไม่เข้ารหัส นั่นหมายความว่าใครก็ตาม (หรือโปรแกรมใดๆ ก็ตาม) ที่สามารถเข้าถึงที่จัดเก็บข้อมูลภายในของอุปกรณ์ก็สามารถอ่านอีเมลและเข้าถึงไฟล์แนบได้เช่นกัน ฟังดูลึกซึ้งใช่ไหม? ไม่จำเป็นต้องเป็นคน การล้วงข้อมูลทางอีเมลถือเป็นหนึ่งในสิ่งที่มัลแวร์ทำบ่อยที่สุด

เครือข่ายนั้นเข้าใจยากขึ้นเล็กน้อย และครอบคลุมลิงก์พื้นฐานสามลิงก์:

• การเชื่อมต่อกับผู้ให้บริการอีเมลของคุณ (ไม่ว่าจะเป็น ISP, Google, Outlook, Yahoo, Apple หรือบุคคลอื่น)
• การเชื่อมต่อเครือข่ายใดๆ ระหว่าง ผู้ให้บริการอีเมลของคุณและผู้รับของคุณ
• การเชื่อมต่อเครือข่ายของผู้รับกับผู้ให้บริการอีเมล

หากคุณกำลังส่งอีเมลถึงบุคคลที่ใช้บริการเดียวกับที่คุณใช้ (เช่น Outlook.com) คุณจะมีอย่างน้อยคนแรกและ ช่องโหว่เครือข่ายที่อาจเกิดขึ้นประการที่สาม: การเชื่อมต่อของคุณไปยัง Outlook.com และการเชื่อมต่อของผู้รับ Outlook.com หากอีเมลของผู้รับของคุณอยู่ที่อื่น (เช่น บริษัทหรือโรงเรียน) แสดงว่าคุณมีอย่างน้อยหนึ่งรายการ: การเชื่อมต่อระหว่าง Outlook.com และผู้ให้บริการอีเมลของผู้รับของคุณ ความเป็นจริงของภูมิประเทศเครือข่ายหมายความว่าการเชื่อมต่อแต่ละอย่างเกี่ยวข้องกับเราเตอร์และสวิตช์หลายชุด (อาจเป็นโหลหรือมากกว่านั้น) อาจเป็นเจ้าของและดำเนินการโดยกลุ่มที่แตกต่างกัน หากการเชื่อมต่อมีความปลอดภัย ก็ไม่รับประกันใดๆ อื่น การเชื่อมต่อตามลำดับมีความปลอดภัย และหากคุณกังวลเกี่ยวกับสิ่งต่างๆ เช่น โครงการเฝ้าระวัง PRISM ของ NSA จนถึงตอนนี้ สิ่งบ่งชี้ก็คือบางส่วนเกิดขึ้นที่จุดเครือข่ายชั่วคราวเหล่านี้

เซิร์ฟเวอร์คือเครื่องของผู้ให้บริการอีเมลหรือ ISP ของคุณที่จัดเก็บอีเมลของคุณ หากมีใครถอดรหัส (หรือคาดเดาหรือขโมย) รหัสผ่านอีเมลของคุณ พวกเขาอาจไม่จำเป็นต้องใช้อุปกรณ์ของคุณ พวกเขาสามารถเข้าสู่ระบบผู้ให้บริการอีเมลของคุณได้โดยตรงและอ่านอีเมลที่เก็บไว้ที่นั่น นั่นอาจเป็นเพียงข้อความไม่กี่ข้อความ แต่อาจเป็นสัปดาห์ เดือน หรือปี ซึ่งรวมถึงข้อความบางส่วนที่คุณลบด้วย แต่นั่นไม่ใช่ความเสี่ยงเพียงอย่างเดียว บริการอีเมลส่วนใหญ่จะจัดเก็บข้อความของคุณเป็นข้อความธรรมดา ดังนั้นผู้โจมตีที่สามารถเข้าถึงเซิร์ฟเวอร์เหล่านั้นได้ (เช่น ผ่านข้อบกพร่องด้านความปลอดภัยหรือโดยการขโมยรหัสผ่านของผู้ดูแลระบบ) จะสามารถเข้าถึงอีเมลและไฟล์แนบที่เก็บไว้ทั้งหมดได้อย่างง่ายดาย เหตุใดผู้ให้บริการจึงไม่ปกป้องอีเมลที่เก็บไว้ ส่วนหนึ่งเป็นเพราะค่าใช้จ่ายที่จะสร้าง แต่การจัดเก็บอีเมลที่ไม่ได้เข้ารหัสทำให้ผู้คนสามารถค้นหาข้อความของพวกเขาได้ (คุณชอบที่จะค้นหา อีเมลของคุณใช่ไหม) และเปิดใช้งานบริการต่างๆ เช่น Gmail เพื่อสแกนอีเมลเพื่อหาคำหลักเพื่อขายโฆษณาโดยอัตโนมัติ (และคุณชอบโฆษณา ขวา?).

การเข้ารหัสเพื่อช่วยเหลือ!

วิธีที่ดีที่สุดในการปกป้องการสื่อสารคือการเข้ารหัส โดยพื้นฐานแล้วเป็นการแย่งชิงข้อมูลที่ซับซ้อน การแปลงทางคณิตศาสตร์ ดังนั้นจึงเข้าใจได้โดยใช้รหัสผ่านที่ถูกต้องหรือข้อมูลรับรองอื่นๆ เท่านั้น รูปแบบการเข้ารหัสทั่วไปคือการเข้ารหัสคีย์สาธารณะ โดยที่ผู้คน (หรือ ISP หรือบริษัท) มอบคีย์สาธารณะที่ใครๆ ก็สามารถทำได้ ใช้เพื่อช่วงชิงข้อมูลที่มีไว้สำหรับพวกเขา แต่สามารถถอดรหัสได้โดยใช้รหัสส่วนตัวที่บุคคลนั้น (หรือ ISP หรือบริษัท) เก็บไว้เท่านั้น ความลับ.

การเข้ารหัสคีย์สาธารณะเป็นพื้นฐานของสองวิธีหลักในการปกป้องอีเมล:

• การเข้ารหัสข้อความ
• การเข้ารหัสการเชื่อมต่อเครือข่าย

การเข้ารหัสข้อความ

แนวคิดเบื้องหลังข้อความที่เข้ารหัสนั้นตรงไปตรงมา: แทนที่จะส่งข้อความธรรมดาที่ใครๆ ก็อ่านได้ คุณจะส่ง gobbledegook ที่มีสัญญาณรบกวนเฉพาะผู้รับที่ต้องการเท่านั้นที่สามารถอ่านได้ เครื่องมือทั่วไปสำหรับการเข้ารหัสอีเมล ได้แก่ พีจีพี (ปัจจุบันเป็นผลิตภัณฑ์เชิงพาณิชย์จาก Symantec) และแอปและเครื่องมือหลักๆ มากมายที่รองรับ OpenGPG และ S/MIME แบบโอเพ่นซอร์ส

การเข้ารหัสข้อความเป็นแนวคิดที่ตรงไปตรงมา แต่แนวทางนี้มีข้อดีและข้อเสีย ในด้านบวก ข้อความที่เข้ารหัสจะได้รับการปกป้องทั่วทั้งเครือข่ายและเซิร์ฟเวอร์ แม้ว่าข้อความเหล่านั้นจะถูกบุกรุกหรือจัดเก็บข้อความเป็นข้อความธรรมดาก็ตาม (แต่ gobbledegook อาจทำให้ Gmail แสดงโฆษณาแปลกๆ ได้!) ข้อความก็อาจถูกเข้ารหัสเช่นกัน บนอุปกรณ์ของคุณและอุปกรณ์ของผู้รับ (จนกว่าพวกเขาจะถอดรหัส) ซึ่งมีการป้องกันเพิ่มเติม นั่นเป็นสิ่งที่ดีทั้งหมด

ตอนนี้ข้อเสีย การเข้ารหัสข้อความแต่ละข้อความเป็นเรื่องที่ยุ่งยาก. คุณต้องมีรหัสสาธารณะของ ทุกคน คุณต้องการสื่อสารอย่างปลอดภัย นั่นไม่ใช่เรื่องแย่สำหรับหนึ่งหรือสองคน แต่คนส่วนใหญ่มีผู้ติดต่อหลายสิบ (หรือหลายร้อย) คน การทำให้ทุกอย่างพร้อมใช้งานด้วยการเข้ารหัสคีย์สาธารณะจะไม่ใช่เรื่องง่าย

นอกจากนี้ทุกท่านที่ต้องการส่ง คุณ อีเมลที่ปลอดภัยต้องการรหัสสาธารณะของคุณ! คุณสามารถส่งให้พวกเขาทางอีเมลได้… แต่จะไม่ได้รับการเข้ารหัส ดังนั้นจึงไม่ปลอดภัย เช่นเดียวกับโพสต์บนบล็อกหรือหน้า Facebook หรือบริการเซิร์ฟเวอร์คีย์หรือช่องทางที่ไม่ปลอดภัยอื่น ๆ วิธีเดียวที่ปลอดภัยจริงๆ ในการแลกเปลี่ยนคีย์สาธารณะคือการเผชิญหน้ากันหรือวิธีอื่นที่คุณสามารถทำได้ อย่างแท้จริง แน่ใจว่าคุณได้รับกุญแจที่ถูกต้องจากคนที่ใช่ นั่นอาจไม่สามารถทำได้จริงอย่างยิ่ง บางคนที่ส่งอีเมลละเอียดอ่อนถึงคุณ เช่น ธนาคาร บริษัทบัตรเครดิต โรงพยาบาล โรงเรียน หรือ คลินิกการเจริญพันธุ์ในพื้นที่ - อาจจะไม่ (หรือไม่ทราบวิธีการ) ใช้กุญแจสาธารณะของคุณ แม้ว่าพวกเขาจะมี มัน. สรุป ข้อความอีเมลของคุณจำนวนไม่มากที่จะถูกเข้ารหัส ดังนั้นการเข้ารหัสข้อความจึงไม่ใช่วิธีแก้ปัญหาทั่วไปสำหรับอีเมลที่ปลอดภัย

แต่เดี๋ยวก่อน! การเข้ารหัสข้อความมีข้อเสียมากกว่า มีเพียงข้อความเท่านั้น เนื้อหา (และเอกสารแนบ ถ้ามี) จะถูกรบกวน ข้อมูลส่วนหัว (รวมถึงที่อยู่ของคุณ ที่อยู่ผู้รับ เรื่อง วันที่ และอื่นๆ) ยังคงเป็นข้อความธรรมดาที่ใครๆ ก็อ่านได้ ข้อมูลนั้นอาจเป็นเพียงเมตาดาต้า แต่เมื่อเวลาผ่านไป ข้อมูลดังกล่าวสามารถวาดภาพกิจกรรมออนไลน์ของคุณที่มีรายละเอียดอย่างน่าประหลาดใจ (แค่ ถาม NSA!) ต้องการข้อเสียอื่นหรือไม่? ลองลงชื่อเข้าใช้เว็บเมลของคุณและค้นหาหมายเลขโทรศัพท์หรือที่อยู่ผ่านอีเมลที่เข้ารหัส

การเข้ารหัสการเชื่อมต่อ

ความยุ่งยากกับข้อความที่เข้ารหัสหมายถึงการมุ่งเน้นไปที่การรักษาความปลอดภัยอีเมลส่วนใหญ่อยู่ที่การเข้ารหัสการเชื่อมต่อเครือข่าย แนวคิดพื้นฐานก็เหมือนกับการใช้เว็บไซต์ที่ปลอดภัย เช่น ธนาคารของคุณหรือ Amazon.com เมื่อคุณเชื่อมต่อกับผู้ให้บริการอีเมลของคุณ ซอฟต์แวร์ของคุณจะใช้ Transport Layer Security (TLS หรือที่รู้จักกันดีในชื่อ SSL) เพื่อเข้ารหัสการเชื่อมต่อระหว่างอุปกรณ์ของคุณและบริการ มันยังดูแลการแลกเปลี่ยนคีย์อีกด้วย: อุปกรณ์ส่วนใหญ่ในปัจจุบันมีการติดตั้งคีย์สำหรับผู้ออกใบรับรองไว้ล่วงหน้าซึ่งสามารถดาวน์โหลดได้ คีย์รับรองความถูกต้องสำหรับไซต์และบริการโดยไม่ต้องรบกวนผู้ใช้: ไม่ต้องยุ่งยาก ไม่ต้องยุ่งยาก ไม่ต้องบินไปออสเตรเลียเพื่อแลกเปลี่ยนกุญแจสาธารณะกับ บางคน. เทคโนโลยีพื้นฐานใช้ได้กับอีคอมเมิร์ซมาเกือบสองทศวรรษแล้ว

การเข้ารหัสการเชื่อมต่อระหว่างคุณและผู้ให้บริการอีเมลของคุณหมายความว่าไม่มีใครในเครือข่ายที่อยู่ระหว่างนั้นสามารถดูข้อความอีเมลที่คุณส่งหรือรับได้ ทั้งหมดนี้เป็นเพียง gobbledegook ซึ่งจะปกป้องคุณจากการคืบคลานบนเครือข่าย Wi-Fi ในพื้นที่ และแม้แต่การแตะของรัฐบาลลับในศูนย์ข้อมูลที่ไหนสักแห่งระหว่างทาง

อย่างไรก็ตาม เมื่อข้อความไปถึงผู้ให้บริการอีเมลของคุณ การเดิมพันทั้งหมดปิดอยู่ โดยส่วนใหญ่แล้ว ผู้ให้บริการอีเมลของคุณจะจัดเก็บข้อมูลข้อความเป็นข้อความธรรมดา (ดูด้านบน) แม้ว่าจะมีข้อยกเว้นเช่นของแคนาดา ฮัชเมล. และหากผู้รับของคุณอยู่ในผู้ให้บริการอีเมลหรือ ISP รายอื่น ข้อความของคุณอาจถูก (และอาจจะเป็น!) ส่งถึงพวกเขาทางอินเทอร์เน็ตในรูปแบบอีเมลข้อความธรรมดาแบบเก่า บริการอีเมลจำนวนมากขึ้นเรื่อยๆ กำลังใช้ TLS เพื่อเข้ารหัสการเชื่อมต่อระหว่างกัน แต่ กว้างใหญ่ เซิร์ฟเวอร์อีเมลส่วนใหญ่ในโลกยังคงแลกเปลี่ยนข้อความโดยไม่มีการเข้ารหัส และไม่มีทางที่คุณจะรู้ได้ นอกจากนี้ ไม่มีการบอกว่าผู้รับของคุณจะใช้การเชื่อมต่อที่ได้รับการป้องกันเพื่อรับหรือตอบกลับอีเมลของคุณหรือไม่ คุณอาจจะได้รับการปกป้อง ตัวคุณเอง จากการคืบคลานบนเครือข่าย Wi-Fi สาธารณะ แต่แพทย์หรือนักบัญชีของคุณทำหรือเปล่า? อาจจะไม่.

อีเมลถึงวาระแล้วหรือยัง?

อีเมลจะไม่หายไปในเร็วๆ นี้ มันมีประโยชน์มากเกินไป และมีสถานะเกือบเป็นสากลในเกือบทุกอุปกรณ์และบริการ ทำให้มั่นใจได้ว่าอีเมลจะอยู่กับเราไปอีกนานหลายปี

แต่ ปลอดภัย อีเมล? สิ่งที่สำคัญที่สุดคืออีเมลที่เรารู้จักในปัจจุบัน ไม่เคย ปลอดภัย และวิธีการมากมายที่เราส่ง รับ จัดเก็บ และใช้ข้อความอีเมลทำให้อีเมลมีความปลอดภัยอย่างเต็มที่ มาก ปัญหาที่ยากลำบาก ที่ดีที่สุด.

เราสามารถคิดค้นบริการข้อความที่ปลอดภัยใหม่ๆ ที่สามารถแทนที่อีเมลได้ นั่นคือสิ่งที่ วงกลมเงียบ ได้ทำกับบริการสื่อสารที่เข้ารหัสแล้ว และนั่นคือสิ่งที่ BlackBerry ทำกับ BBM และสิ่งที่ Apple อาจทำกับ iMessage อย่างไรก็ตาม บริการเหล่านี้อยู่ภายใต้การร้องขอให้เปิดเผยข้อมูลจากรัฐบาล แม้ว่า Silent Circle จะใช้ขั้นตอนที่น่าสนใจในการตอบสนองโดยแทบไม่มีอะไรเลยก็ตาม ที่สำคัญกว่านั้น ไม่มีใครมีแนวโน้มที่จะแพร่หลายในวงกว้างและเข้าถึงอีเมลได้แทบทุกหนทุกแห่งในทุกจุดของสื่อกลางหรือแม้แต่ในระยะยาว หวังว่าความยากลำบากจะไม่หยุดผู้คนจากการพยายาม – และ Mega ของ Kim Dotcom ก็พร้อมแล้ว โยนหมวกขึ้นบนเวที.

แต่ในอนาคตอันใกล้นี้ ผู้ใช้อินเทอร์เน็ตไม่สามารถคาดหวังได้ว่าอีเมลจะปลอดภัยจากการสอดรู้สอดเห็นหรือการสกัดกั้น ระยะเวลา.

ขอบคุณภาพด้านบนจาก ชัตเตอร์/3ความฝัน