Как шифровать сообщения по e-mail и станет ли от этого «безопасней»

    image

    Защищена ли информация, пересылаемая по электронной почте?

    Честный ответ на этот вопрос будет звучать так: «Да. Но нет». Когда вы посещаете большинство сайтов, в адресной строке отображается протокол HTTP. Это – небезопасное соединение. Если зайдете в аккаунт одной из крупных почтовых служб, вы увидите уже HTTPS. Это говорит об использовании протоколов шифрования SSL и TLS, которые обеспечивают безопасное «путешествие» письма из окна браузера до почтового сервера. Вместе с тем это ничего не даёт в связи с новым СОРМ, который вступает в действие с 1 июля 2014 года. Тем более абсолютно ничто не защищает вашу переписку от недобросовестного сотрудника фирмы почтового сервиса, атак хакеров, незакрытой сессии на чужом компьютере, незащищенной точки Wi-Fi, а также любого требования спецслужб – уже сейчас — и даже самой службы почтового сервиса, в соответствии с их собственной политикой конфиденциальности.


    Все письма, приходящие, уходящие или хранящиеся на сервере почтовой службы находятся в полнейшем распоряжении компании, которой он (сервер) принадлежит. Обеспечивая безопасность при самой пересылке, компания может делать с сообщениями все, что ей вздумается, так как, по сути, получает письма в своё распоряжение. Поэтому надеяться можно лишь на порядочность её (компании) руководства и служащих, а также на то, что вы вряд ли кого-то серьезно заинтересуете.

    При использовании корпоративной почты переписка защищается силами IT-службы, которые могут установить очень строгий Firewall. И, тем не менее, это тоже не спасёт, если недобросовестный сотрудник «сольёт» информацию. Речь идет не обязательно о системном администраторе – злоумышленнику достаточно оказаться «внутри» корпоративной сети: если он настроен серьезно, остальное – дело техники.


    Зашифруемся

    Несколько повысить уровень защиты вашей почты «от дурака» может шифрование текста письма и вложения (их также можно поместить в архив с паролем, например, если сам текст не содержит конфиденциальных данных, а архив — содержит). В этом случае можно использовать специальное программное обеспечение.

    Само тело письма можно шифровать сторонней криптографической программой, об этом уже писалось ранее, позволю себе повторить немного на свой лад. Наиболее популярный сервис, для которого специально создана программа шифрования – Gmail. Расширение SecureGmail устанавливается в Google Chrome, который это шифрование поддерживает, после чего всё совсем просто – для шифруемого сообщения вводится пароль и вопрос-подсказка для его восстановления. Единственный недостаток – ограничение использования только для GoogleChrome.

    Есть шифратор, который подходит для практически любой онлайн-почты, например для mail.ru, yandex.ru, Gmail.com – для всех почтовых сервисов, которые вы можете открыть в окне браузера Mozilla. Это расширение Encrypted Communication. Принцип работы такой же, как у SecureGmail: написав сообщение, выделите его мышью, после чего нажмите правую кнопку и выберите «зашифровать при помощи Encrypted Communication». Далее введите и подтвердите пароль, известный вам и получателю. Естественно, оба этих клиента должны быть установлены и у получателя, и у отправителя и оба этих человека должны знать пароль. (Стоит отметить, что было бы опрометчиво отправлять пароль той же почтой.)

    Кроме плагинов для браузера, в котором вы открываете почту, существует приложение для десктопных клиентов, которое также может использоваться и с онлайновыми почтовыми сервисами — PGP (Pretty Good Privacy). Метод хорош, так как использует два ключа шифрования – открытый и закрытый. А также можно использовать целый ряд программ как для шифрования данных, так и для шифрования текста письма: DriveCrypt, Gpg4win, Gpg4usb, Comodo SecureEmail и другие.

    Как ни печально, продвинутая техника шифрования, как бы легка в использовании и красива она ни была, не спасёт, если, например, в вашем компьютере поселят backdoor, который делает снимки экрана и отправляет их в сеть. Поэтому лучший способ шифрования – не писать писем. Девиз «Надо чаще встречаться» приобретает в этом контексте новое звучание.


    Минимизируем риски

    Как уже было отмечено выше, идеальный способ шифрования – не писать писем. Чаще всего, не следует пользоваться бесплатными почтовыми сервисами для ведения переписки по работе, особенно если вы подписывали соглашение о неразглашении. Дело в том, что если ваши сообщения перехватят с корпоративной почты – разбираться с брешью в защите будут с IT-отделом компании. В противном случае вы несёте личную ответственность. Помните: при использовании «внешней» почты переписка обязательно попадет третьим лицам, как минимум, сотрудникам компании, предоставляющей услуги почтового сервиса. А они с вашим работодателем соглашения о неразглашении не подписывали.

    Если вы важное лицо в компании, не пересылайте ключевые документы по открытым каналам, либо не используйте для их передачи электронную почту вообще, а для работы пользуйтесь корпоративной почтой и не высылайте важные письма на адреса бесплатных почтовых сервисов.


    Во всех остальных случаях, например, при заключении договоров, полезно использовать почту, так как электронное сообщение содержит факты ваших договорённостей по работе и может вам в дальнейшем помочь. Помните, что большинство «сливов» информации происходят по вине отнюдь не хакеров, а «человеческого фактора». Вам вполне может быть достаточно использовать сложные пароли, регулярно их менять и не допускать их утраты. Следует не забывать закрывать свои сессии на чужих компьютерах, не пользоваться незащищенными соединениями при работе через Wi-Fi в общественных местах, установить галочки в настройках почтового ящика «запомнить мой IP адрес», «отслеживать IP адреса, с которых открывались сессии», «не допускать параллельных сессий». А также не создавать простых вопросов и ответов для восстановления пароля и не терять мобильный телефон, если к нему привязан ваш аккаунт.
    Поделиться публикацией
    Комментарии 26
      +9
      Несколько повысить уровень защиты вашей почты «от дурака» может шифрование текста письма и вложения (их также можно поместить в архив с паролем, например, если сам текст не содержит конфиденциальных данных, а архив — содержит). В этом случае можно использовать специальное программное обеспечение.


      Кроме плагинов для браузера, в котором вы открываете почту, существует приложение для десктопных клиентов, которое также может использоваться и с онлайновыми почтовыми сервисами — PGP (Pretty Good Privacy). Метод хорош, так как использует два ключа шифрования – открытый и закрытый. А также можно использовать целый ряд программ как для шифрования данных, так и для шифрования текста письма: DriveCrypt, Gpg4win, Gpg4usb, Comodo SecureEmail и другие.


      Помните, что большинство «сливов» информации происходят по вине отнюдь не хакеров, а «человеческого фактора». Вам вполне может быть достаточно использовать сложные пароли, регулярно их менять и не допускать их утраты. Следует не забывать закрывать свои сессии на чужих компьютерах, не пользоваться незащищенными соединениями при работе через Wi-Fi в общественных местах, установить галочки в настройках почтового ящика «запомнить мой IP адрес», «отслеживать IP адреса, с которых открывались сессии», «не допускать параллельных сессий».

      Вы точно на ИТ-ресурс пишете? Думаю, здесь мало кого испугаешь словами PGP и Gpg4win. Ну и за советы использовать сложные пароли и закрывать сессии на чужих компьютерах спасибо. Сам бы не догадался.
      0
      > Это говорит об использовании протоколов шифрования SSL и StarTLS, которые обеспечивают безопасное «путешествие» письма из окна браузера до почтового сервера. Вместе с тем это ничего не даёт в связи с новым СОРМ, который вступает в действие с 1 июля 2014 года.

      А можно немного деталей вот по этому пункту?
        0
        Если «они» теперь все записывают, то, теоретически, по решению суда они могут у гугла взять твои ключи и расшифровать письмо. Более того, учитывая как работают наши правоохранители, возможно что даже и без решения суда. Просто тупо оборотни в погонах, промышленный шпионаж.
        С технической точки зрения моё утверждение, соглашусь, несколько спорно — потому что https конечно, теоретически, можно прочитать, но явно понадобится не опер с планшетом.
          0
          Я про SSL, и его «бесполезность» всвязи с новым СОРМ.
          Для этого нужно, как минимум, либо получить от Гугла их SSL сертификат, для осуществления MitM, либо логирование трафика, его анализ и взлом протокола. Оба варианта, как мне кажется, что-то из области научной фантастики…
          Ну еще, в принципе, можно и конечному клиенту внедрить бяку на комп (и тут мне, почему-то, вспомнился браузер от Яндекса).
            0
            Трудно не согласиться. Однако если, пусть даже призрачная, такая возможность есть — считаю, нужно об этом сказать. Прецедентов не было, чтобы по решению суда у гугла получали эту информацию — пока что.

            Я вижу процесс так: когда ты отправляешь письмо по безопасному соединению, то между двумя точками: твой комп, почтовый сервак — невозможно ничего прочитать, все зашифровано. В самом гмыле я надеюсь, они их хранят тоже в шифрованном виде. И, соответственно, когда ты или тот, кому ты послал письмо, читаешь его по безопасному соединению, то между теми же двумя точками письмо перемещается в шифрованном виде. Так что СОРМ может влезть только если им сам гугл даст свой ключ для шифрования вот что, к счастью, мало верится. Это мое видение процесса. Хотя, скорее всего — в гугле для каждого пользователя есть отдельный ключ, и по запросу органов они могут только твой ключ дать полиции или фсб, и вот тогда имея ключ и шифрованное письмо можно его расшифровать.
              0
              Ключ вообще не для каждого пользователя, а для каждого SSL-соединения. И вряд ли гугл хранит ключи от соединений, которые уже закрыты.
                0
                В моем понимании для поднятия SSL используется асимметричное шифрование а вот уже «внутри» симметричное, так что хранить ключи закрытых сессий не надо, если ты достанешь ключи асимметричного шифрования, то симметричные ты уже из расшифрованного дампа должен достать(они сеансовые).
                  0
                  Неверно. Ключ для симметричного шифрования получается посредством взаимодействия обоих участников (и их ключей). Чтобы расшифровать дамп, если гугл не сохранил используемый для этой сессии симметричный ключ, вам нужны оба закрытых ключа — и гугла и браузера. Это называется Forward secrecy: en.wikipedia.org/wiki/Forward_secrecy
                    0
                    Но это относится к гуглу. В общем случае TLS не гарантирует Forward secrecy, всё зависит от конкретных алгоритмов, которые поддерживает сервер.
                      0
                      Мне кажется, что не совсем верно.
                      Имея приватный ключ сервера можно расшифровать хендшейк и из него получить ключ сессии и расшифровать сообщение. При использовании PFS придется отдельно расшифровывать каждое сообщение, но не более того.

                      Если же приватного ключа сервера нет и используется PFS, придется подбирать ключи для всех сообщений, что увеличивает стоимость операции в разы. Вероятнее всего за это время актуальность информации потеряется.
          +1
          Кстате название протокола — TLS (Transport Layer Security)

          А команда протокола StartTLS («начать TLS», а не «звездный TLS»)
          en.wikipedia.org/wiki/STARTTLS
            0
            Спасибо. Поправили.
          0
          Без упоминания S-MIME статья выглядит неполной
            0
            Спасибо! Чуть позже добавлю.
            0
            Спасибо!
              0
              Паранойя во мне говорит, что все, что подключено к сети и использует какой-то софт широкого назначения, по умолчанию заражено.
              Откуда мне знать, что нажатия кнопок не передаются куда-то еще до того, как я начну что-то шифровать?
                0
                Почитайте про OTR, там ключи надо подтвердить альтернативным путём, к примеру, послать с нарочным в письме.
                Хотя от параноии это не поможет.
                –1
                При использовании корпоративной почты переписка защищается силами IT-службы, которые могут установить очень строгий Firewall. И, тем не менее, это тоже не спасёт, если недобросовестный сотрудник «сольёт» информацию. Речь идет не обязательно о системном администраторе – злоумышленнику достаточно оказаться «внутри» корпоративной сети: если он настроен серьезно, остальное – дело техники.


                Не подскажите, как «технично» взломать Microsoft Exchange Server 2010 на котором стоят все последние апдейты? Очень интересует техника взлома, ага :D и я думаю не мне одному лол.
                  0
                  — Мань, «Рога и копыта» договор прислал?
                  — Да, а что?
                  — Перешли мне пожалуйста, шеф просил кое-что глянуть...


                  Что против этого сделает Microsoft Exchange Server 2010 с последними апдейтами?
                    0
                    Меня всё же дело техники™ интересует а не методы социнжениринга ;)
                    Т.е. допустим у Мани нет договора, ваш ход?
                      0
                      Мне кажется, «дело техники» тут упоминается как поговорка. То есть, если человек внутри, то он всегда найдёт способ добыть информацию.
                        0
                        А мне кажется, что автор статьи немного м-м-м… скажем так, ошибается ;)
                        При всём уважении.
                  +1
                  Возможно, не совсем в тему, но полностью зашифрованный и анонимный IM, которым было бы удобно пользоваться, уже есть и называется torchat. В e-mail можно обменяться логинами от torchat, а всю важную информацию, включая документы, передавать через него. Безопасники, обрезающие сотрудникам Tor, будут в ужасе, но зато никакие конкуренты на канале не засядут и из почтовика информацию не достанут.
                    0
                    Как ни печально, продвинутая техника шифрования, как бы легка в использовании и красива она ни была, не спасёт, если, например, в вашем компьютере поселят backdoor, который делает снимки экрана и отправляет их в сеть. Поэтому лучший способ шифрования – не писать писем. Девиз «Надо чаще встречаться» приобретает в этом контексте новое звучание.

                    Если Вы совсем параноик — создаёте специальную виртуальную машину, с которой будете писать письма. Настраиваете правило файерволла на реальной машине, запрещающее этой виртуалке доступ куда-либо, окромя IP мыльного сервера. Дублируете его на роутере. Возвращаете машинку к снапшоту после использования.

                    Правда, это Вас не спасёт в случае:
                    1. Зловред повысит привелегии с виртуальной машины на реальную (которая лучше бы должна быть на линуксе) и отменит правила файерволла. Потом пролезет на роутер, похакает его и там тоже правила поменяет. Потом похакает весь интернет через Вас — чего уж там мелочиться в фантазиях.
                    2. От человека, который стоит за плечом и подсматривает за Вами в подзорную трубу. Так что пишите письма из тёмного подвала. Правда, есть видеокамеры, которые умеют снимать в ночи. Поэтому понадобится ещё и охрана — нанятые Вами люди, которые будут этот подвал проверять на электронные жучки.
                    3. В случае использования против Вас Терморектальный криптоанализатора

                    P.S. Почитайте на досуге Защита информации от несанкционированного доступа в современных компьютерных системах. В частности, обратите внимание, что задача защиты — в том, чтобы атакующему было экономически не выгодно производить атаку, обходя обустроенную защиту информации. А не в том, чтобы это было в принципе невозможно. Ибо такого никогда не будет в силу теоремы о бесконечных обезьянах.
                    А когда освоите это — поинтересуйтесь на тему модели злоумышленника. Может, прозреете
                      –1
                      Как ни печально, продвинутая техника шифрования, как бы легка в использовании и красива она ни была, не спасёт, если, например, в вашем компьютере поселят backdoor, который делает снимки экрана и отправляет их в сеть.


                      Поселите бекдор в мою убунту…

                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                      Самое читаемое