Как отправить зашифрованное паролем электронное письмо. Шифрование почты

Шифрование электронной почты вещь крайне необходимая, о которой редко задумываются пользователи. Начинают задумываться и предпринимать меры для защиты электронной почты только после того как подвергаются атаке. Сегодня я расскажу как зашифровать почту и предотвратить перехват важных, конфиденциальных данных.

1. Провайдер сервисов e-mail с PFS

Пользуйтесь услугами провайдеров, которые для обмена ключами между отправителем и получателем уже используют новую систему совершенной прямой секретности (англ. Perfect forward secrecy, PFS).


В России PFS уже предлагают такие сервисы как: Web.de, GMX и Posteo.

2. Настройка Gpg4win

Установите инсталляционный пакет Gpg4win . Как правило, пакет используется из учетной записи администратора Windows.


Если вы не хотите рисковать, вы можете по-прежнему уменьшать уязвимые места, используя ограниченную учетную запись пользователя для шифрованной связи, чтобы запретить доступ к данным профиля учетной записи.

3. Создание шифрования

Откройте менеджер сертификатов Kleopatra, который установится на ваш компьютер вместе с Gpg4win, и нажмите File | New Certificate… для запуска мастера генерации ключей. Выберите здесь Generate a personal OpenPGP key pair и введите имя и электронную почту.


Kак зашифровать почту

По щелчку по Next введите легко запоминающееся для вас кодовое слово, содержащее прописные и строчные буквы и числа. Последнее диалоговое окно пропустите, кликните по кнопке завершения, и ваша пара ключей готова к использованию.

4. Настройка Thunderbird и Enigmail

Скачайте и установите Thunderbird для своей электронной почты. Если вы пользуетесь услугами крупных провайдеров или Posteo, то для мастера установки достаточно будет ввести электронный адрес и пароль, которые есть у вас для входа через веб-клиент сервиса. При настройке дополнения Enigmail в Thunderbird нажмите Alt для отображения меню и щелкните по вкладке Инструменты | Дополнения . В строке поиска введите Enigmail и нажмите Enter . Первая запись должна быть последней версией Enigmail. Щелкните кнопку Установить .


Зашифрованная почта

После установки и перезапуска Thunderbird вас поприветствует мастер Enigmail. В настройках этого мастера выберите Удобное автоматическое шифрование , Не подписывать сообщения по умолчанию… и Изменить параметры: Да . В диалоговом окне Выбрать ключ щелкните по вашему ключу, который вы создали в п. 3. Теперь ваши письма будут зашифрованы.

5. Шифрование писем и вложений

Отправлять и получать письма в незашифрованном виде и дальше вы можете при помощи Thunderbird или с вебклиента вашего провайдера. Если вы хотите отправить зашифрованное сообщение, получите от будущего получателя его открытый ключ, сохраните на жесткий диск и импортируйте в утилиту Kleopatra: для этого нужно ее открыть и выбрать «Import Certificates». Для шифрования письма сначала напишите его и прикрепите нужные вложения. Затем в окне письма Написать щелкните по меню Enigmail , где в двух первых записях отобразится текущий статус шифрования и подписи письма.


Зашифрованная почта

Щелкнув по значку стрелочки рядом, вы можете принудительно отправлять письма в зашифрованном или незашифрованном виде. К зашифрованным письмам необходимо добавлять подпись, дабы получатель мог проверить, действительно ли вы отправили письмо.

6. Получение зашифрованных писем

Для отправки вам криптографически защищенного письма нужно воспользоваться Enigmail (или другим Ореп-PGP-совместимым решением, например, Claws Mail) и вашим открытым ключом, который вам следует отправить незашифрованным письмом будущему отправителю. Щелкните в почте по Enigmail | Прикрепить мой открытый ключ . При получении зашифрованного письма Enigmail потребует ввести пароль.


На этом все. С помощью описанный выше шагов вы сможете надежно . Если понравилась статья жмите на кнопки ваших соц. сетей и подписывайтесь на новости сайта в социальных сетях.

Несмотря на все возможности антивирусов и плагинов для браузеров, шифрование почты до сих пор остается актуальной. необходимо для защиты Вашей конфиденциальной информации при пересылке.

Актуальность шифрования почты обуславливается возможностью злоумышленника узнать вашу конфиденциальную информацию, изменить ее или просто удалить. Представите, что Вы отправляете своему деловому партнеру по почте контракт, договор или отчет. Злоумышленник может перехватить Ваше сообщение и узнать сумму сделки, изменить пересылаемую информацию или просто удалить сообщение. Ни один из этих исходов не выгоден Вам.

Шифрование почтовых писем обязательно , если Вы пересылаете важные и конфиденциальные данные. Потратите немного времени, что бы зашифровать переписку и тем самым, надежно защитить ее.

Способы шифрования почты

Существуют различные способы шифрования почты. Самые примитивные – договориться с получателем, что Вы замените одни цифры на другие или отправите данные частями. Все это неудобно и неэффективно.

Для эффективной защиты переписки необходимо использовать специальные программы. Очень популярным и надежным способом является отдельно зашифровать данные через специальные программы и прикрепить эти данные в качестве вложения к письму. Для этого можно использовать WinRAR, TrueCrypt, dsCrypt

Установка пароля через WinRAR

WinRAR – очень распространенная программа для архивирования данных. При создание архива Вы можете установить на него пароль. Способ весьма простой и довольно эффективный. Если установить надежный пароль на архив, то узнать информацию будет крайне сложно. Подробное описание как поставить пароль на архив с помощью WinRAR или 7-Zip.

Создание зашифрованного контейнера TrueCrypt

Шифрование данных через dsCrypt

dsCrypt – бесплатная программа для шифрования данных, применяемая алгоритм шифрования AES. dsCrypt легкая и не требующая установки программа.

Для шифрования, перетащить шифруемый документ в окно программы и задать пароль.


В результате Вы получаете защищенный файл в формате DCS и прикрепляете его к письму.

Получатель запускает у себя программу dsCrypt, переходит в режим дешифрования (нужно нажать на кнопку mode), перетаскивает в окно шифрованный файл и вводит пароль.

Все быстро легко и просто. В dsCrypt много различных настроек, в том числе режим Secure PassPad, который защищает пароль от программ – кейлоггеров.

Шифрованный почтовый клиент MEO File Encryption

– бесплатный шифратор с функцией отправки писем. Его очень удобно использовать, если Вы общаетесь с постоянным кругом деловых партнеров. Скачать MEO File Encryption

В главном окне программы есть 3 кнопки: Encrypt files (зашифровать файлы), Encrypt an email (зашифровать и отправить по почте) и Decrypt a file (расшифровать файл).

Процесс шифрования, так же как и в рассмотренных ранее программах сводиться к выбору файлов и установки пароля.

Для отправки письма по почте, нужно в настройках программы необходимо указать SMTP-аккаунт.

Теперь Вы можете отправлять письма, как из любого другого почтового клиента, а во вложение указывать файлы и папки, которые необходимо зашифровать и отправить. Очень удобно, хорошая экономия времени.

Вывод

Конечно, существует большое множество способов шифрования писем, но методы, представленные в этой статье, самые простые в использование и способны обеспечить должный уровень шифрования почты.

В статье описывается, как настроить S/MIME шифрование электронной почты в Outlook 2003 и Outlook 2007. S/MIME - это стандарт для шифрованию электронной почты, он интегрирован во многие почтовые клиенты (Outlook, Thunderbird, Apple Mail и др.). Отмечу, что описанный здесь метод шифрования почты не требует затрат, кроме приобретения почтового клиента Outlook. Но если сравнить стоимость Outlook и, скажем, PGP Desktop Email от Symantec, то Outlook окажется наименьшим злом, причем достаточно удобным и функциональным. Это продолжение статьи " и предтеча статьи по созданию с помощью OpenSSL самоподписанного сертификата S/MIME .

Подразумевается, что у вас и вашего коллеги уже имеются сертификаты.

Настройка шифрования в Outlook

Настройка Outlook 2003 и 2007 практически идентична. Разница только в расположении параметров настройки.

В Outlook 2003 открываем Сервис -> Параметры -> закладка Безопасность -> кнопка Параметры:

В Outlook 2007 открываем Сервис -> Центр управления безопасностью -> Защита электронной почты:

Отмечаем опции «Настройка по умолчанию для этого формата» и «Настройка по умолчанию для всех сообщений».

Переходим к сертификату подписи. Нажимаем кнопку Выбрать. В открывшемся окне выбираем полученный ранее сертификат и жмем Ок. Сертификат шифрования должен подставиться автоматически, если нет, выбираем из списка.

Алгоритм хеширования оставляем по умолчанию - SHA1.

Алгоритм шифрования. В зависимости от установленной операционной системы (XP или Vista), набор доступных алгоритмов будет отличаться. Выбираем самый надежный алгоритм.

  • Для XP - 3DES.
  • Для Vista - AES (256-бит).

Эти настройки определяют максимальный уровень шифрования. Если у вас Vista + Outlook, а вам пишут из XP + Outlook, то письмо будет зашифровано 3DES. Также и в другую сторону, не смотря на то, что у вас выставлен алгоритм шифрования AES (256-бит), письмо для коллеги, работающем в XP, будет зашифровано с помощью алгоритма 3DES. 3DES считается надежным алгоритмом, но если вы хотите улучшить защиту и не переходить на Vista, то ваш выход - сменить почтовый клиент. Например поставить The Bat (есть собственный криптопровайдер с поддержкой AES 256).

Опция «Передавать сертификаты с сообщением» должна быть отмечена.

Обмен сертификатами

Теперь вы можете отправлять кому угодно подписанные сообщения электронной почты, т.е. теперь получатель с намного большей уверенностью сможет считать, что письмо от вас отправили именно вы, а не злоумышленник. Но нам этого мало. Нам необходимо иметь возможность шифровать содержимое электронной почты, а не просто подписывать её. Для этого мы должны обменяться сертификатами с нашим другом. Мы будем шифровать исходящую почту ключом нашего друга, а он, в свою очередь, получив от нас письмо, сможет его окрыть, используя свой ключ.

Для обмена ключами шифрования достаточно отправить друг другу подписанное (sign) сообщение.

Теперь важный для Outlook момент. После получения подписанного письма, отправителя необходимо добавить в адресную книгу.

Для этого открываем полученное письмо. В поле От, на адресе отправителя делаем правый клик, в меню выбираем Добавить в контакты Outlook . Если контакт уже существует выбираем Обновить контакт.

В данных контактного лица переходим на закладку сертификаты. Если все правильно, в списке будет отображен сертификат.

Теперь после привязки сертификата к контактному лицу, мы можем отправить ему зашифрованное письмо.

Обратите внимание, быстрый просмотр при выделении зашифрованного письма не работает. Чтобы прочитать содержимое нужно открыть письмо в отдельном окне.

Узнать каким алгоритмом зашифровано письмо, действительны ли сертификаты, можно нажав на кнопке с изображением замка. В открывшемся окне выделяем строку Уровень шифрования. Внизу в графе Описание будет указан алгоритм шифрования.

Переписка зашифрованными сообщениями S/MIME универсальна, т.е. зашифрованные письма, отправленные с Outlook, можно будет прочесть и в других почтовых клиентах, например, Thunderbird, или на мобильных клиентах, например, iPhone или Android. Главное, импортировать в iPhone или другое устройство или почтовый клиент закрытый ключ для расшифровки сообщений и открытый ключ получателя - для отправки. Проверить работу шифрования просто - если у получателя почты есть веб-интерфейс для доступа к почтовому ящику, то содержимое письма будет недоступно для просмотра, вместо этого в письме будет видно вложение smime.p7s.

Мы начинаем серию статей, посвященных защите и взлому электронной почты. Всего будет три статьи. В первой статье мы рассмотрим современные алгоритмы, средства и методы защиты электронной почты. Во второй будут рассмотрены методы взлома электронной почты, а в третьей статье мы расскажем вам о новом средстве защиты электронной почты - CyberSafe Mail Encryption, которое в данный момент находится на стадии разработки.

Средства защиты электронной почты

Далее будут рассмотрены различные средства защиты электронной почты и приведены преимущества и недостатки каждого из них.

PGP

Начнем с классики жанра. Думаю, все знакомы с PGP - даже если кто ее не использовал, тот знает о ее существовании. Если кто-то знаком с PGP, тогда рекомендуем отличную статью«Введение в шифрование с открытым ключом и PGP» . В ней описаны, как основы криптографии с открытым ключом, так и рассказано, что такое PGP.

Лучше остановимся на преимуществах и недостатках PGP, а, если быть предельно точными, программы PGP Desktop от Symantec. Если отбросить все остальные возможности программы PGP Desktop, а остановиться только на защите электронной почты, то преимуществ (на фоне других решений) будет не так уж и много - наличие сервера ключей keyserver.pgp.com, который пользователи могут использовать для обмена ключами. Больше нет необходимости публиковать свои открытые ключи на сайте или передавать их лично каждому адресату.

Особенность программы - это ее метод защиты электронной почты, а именно перехват на уровне драйвера трафика почтового клиента. Программа обнаруживает трафик почтового клиента и шифрует отправляемые сообщения и автоматически расшифровывает входящие сообщения. Казалось бы, такой метод защиты очень удобен. Ведь не нужно отдельно настраивать почтовый клиент, да и метод перехвата работает с любым почтовым клиентом. Вам не нужно знать особенности настройки каждого клиента, если вам захочется, например, перейти с Outlook на The Bat!

Настраивать сами клиенты при этом не нужно, но нужно настроить программу PGP Desktop для каждого почтового ящика, который вы используете - нужно задать e-mail, адреса SMTP/POP/IMAP-серверов и т.д. Понятное дело, также нужно настроить и ключи шифрования. Все это не очень просто для начинающего пользователя. Если вы никогда не работали с PGP Desktop, оценить сложность настройки программы можно в следующем видео: http://www.itprotect.ru/support/video/pgp-desktop-email/


Рис. 1. PGP Desktop обнаружила исходящее сообщение

Но ведь отсюда вытекает и главный недостаток программы - уже расшифрованные письма остаются незащищенными на клиенте. То есть, запустив почтовый клиент, который ничем не защищен, можно прочитать переписку. Если злоумышленник перехватит трафик, то прочитать ваши сообщения он не сможет, а вот если он завладеет вашим жестким диском, то все будет открыто, как на ладони. Понятно, что программа поддерживает также и создание виртуальных контейнеров, и шифрование физических дисков. Можно хранить базу сообщений почтового клиента в виртуальном контейнере или на зашифрованном диске, тогда у злоумышленника ничего не получится. Но речь сейчас сугубо о защите электронной почте без всяких вспомогательных средств.

Есть и еще один, не менее существенный недостаток. Если приложение PGP Desktop не было запущено, а потовый клиент уже получил сообщения, то они останутся нерасшифрованными. И повторно их расшифровать… непонятно как… Конечно, в Symantec не могли этого не предусмотреть и разработали специальный плагин для почтового клиента Outlook, который называется Outlook Addin. Вот только есть два момента: о «глюках» данного плагина не говорил разве что ленивый и что делать тем пользователям, у которых вместо Outlook, скажем, Thunderbird?

S/MIME

S/MIME (Secure/Multipurpose Internet Mail Extensions) - это стандарт для шифрования и подписи в электронной почте с помощью открытого ключа. Принцип защиты электронной почты следующий. Пользователь генерирует ключевую пару (открытый/закрытый ключ), настраивает свой почтовый клиент и предоставляет открытый ключ всем желающим. Они шифруют его открытым ключом письма, которые можно расшифровать только закрытым ключом. Другими словами, посредством S/MIME можно реализовать классическую схему ассиметричного шифрования со всеми ее преимуществами и недостатками.

К преимуществам данного метода можно отнести следующие:

  • S/MIME поддерживает большинство почтовых клиентов, в том числе и мобильные клиенты (например, MailDroid).
  • Сообщения в почтовом клиенте зашифрованы, пока вы их не расшифруете. Для расшифровки нужно ввести пароль, который указывается при создании ключевой пары.
  • Нет проблем с расшифровкой сообщений, как при использовании PGP Desktop. Поскольку расшифровка происходит средствами почтового клиента, а не сторонней программы, то расшифровать письмо можно в любой удобный момент.

Конечно, есть и недостатки:

  • Главная проблема S/MIME - какой программой сгенерировать сертификат?
  • Каждому адресату нужно предоставить свой открытый ключ. Конечно, это можно немного сгладить при использовании сервера ключей, об этом мы поговорим чуть позже.
  • Сложность настройки. S/MIME требует отдельной настройки для каждого почтового клиента. Например, если у вас в офисе используется Outlook, дома The Bat!, а на мобильном телефоне - MailDroid, то вы должны знать, как настроить все эти клиенты. А это требует квалификации пользователя выше средней.
  • Сложности при смене ключа, особенно, если пользователи плохо понимают, что они делают.

Впрочем, не все недостатки являются такими уж и недостатками. Если использовать специальные программы для создания и управления сертификатами пользователя, например, CyberSafe Top Secret , то первые два недостатка неактуальны - вы сможете создать и опубликовать свой ключ на сервере ключей. Также программа позволяет выполнять поиск ключей, опубликованных другими пользователями.


Рис. 2. Создание сертификата программой CyberSafe Top Secret

По сути, единственный ощутимый недостаток S/MIME - это необходимость настройки каждого почтового клиента вручную. На предприятии можно настроить адресную книгу Outlook и все будет гораздо проще (при условии, что используется Outlook). Если же вы - конечный пользователь и используете шифрование для личных целей, вам придется настраивать сертификаты в каждом почтовом клиенте, который вы используете. В другой нашей статье было показано, .

Безопасные почтовые сервисы. HushMail

Ранее считалось, что достаточно «завести» почтовый ящик на защищенном почтовом сервисе вроде GMail.com и таких мер безопасности будет вполне достаточно для сохранности электронной почты. Однако в 2013 году Google заявило, что больше не гарантирует безопасность данных . Такое заявление повергло многих пользователей этого сервиса в шок и заставило искать либо средства шифрования, либо сразу защищенные сервисы. Преимущество последних очевидно - ничего не нужно настраивать. Просто заводите себе «безопасный» почтовый ящик и используете его как обычно.
Один из таких сервисов - HushMail. На их сайте все очень красиво расписано, если не верите нам, можете убедиться в этом самостоятельно:

Даже приведена матрица угроз, позволяющая определить, от чего может защитить HushMail, а от чего - нет. На сайте сказано, что сервис поможет от перехвата вашего Интернет-соединения, от утечки данных, от неавторизированного анализа контента, а также от правительственных программ наблюдения. Особенно хочется остановиться на последней возможности. Однако всем известно, что ранее компания HushMail передала полиции расшифрованные сообщения некоторых своих пользователей - при судебном разбирательстве дела о контрабанде наркотиков. Суть даже не в факте передачи данных (понятное дело, никому не хочется укрывать преступников), а в факте расшифровки данных.


Рис. 3. Матрица угроз HushMail

Когда-то HushMail был знаменит тем, что он был единственным криптографическим сервисом, где все криптографические операции выполнялись на клиентской стороне в специальном Java-апплете. В этом же апплете генерировались ключевые пары, а на сервере хранились лишь зашифрованные пользователями сообщения, что исключало доступ к закрытым ключам пользователя. Данный апплет даже проверялся на наличие закладок. Их не обнаружили. Но факт передачи расшифрованных сообщений был и с этим не поспоришь.

Далее HushMail превратился в обычную почтовую службу с поддержкой SSL, хотя и с поддержкой OpenPGP, однако, все криптографические операции при этом выполняются на сервере. Именно поэтому мы не рекомендуем использовать подобные сервисы - никогда не знаешь, что происходит «на той стороне».

К слову, у HushMail два варианта интерфейса - новый и «оригинальный» (исходный). Последний изображен на рис. 4. Именно в этой версии интерфейса есть пункт меню Hushtools, вызывающий одноименное окно, предоставляющее средство управления ключами. В «новой» версии интерфейса вообще непонятно, как управлять ключами и шифрованием. В ней HushMail похож на обычную почтовую службу вроде Gmail.com.


Рис. 4. Исходный интерфейс HushMail

Плагин браузера PGP Mail

Позволяет использовать асимметричное шифрование (то есть шифрование с открытым/закрытым ключами) на стороне клиента. О возможностях данного плагина можно прочитать на официальном сайте . Нужно упомянуть лишь четыре его особенности:
  • Поддерживаемые браузеры: Firefox, Chrome, Opera, Safari
  • Рекомендуется использовать Firefox, поскольку функции шифрования в Firefox работают быстрее, чем в Chrome или Opera.
  • Рекомендуется использовать TOR
  • Шифрование осуществляется на стороне клиента

То, что шифрование производится на стороне клиента - это единственное преимущество данного плагина. А вот рекомендация использования TOR может усложнить знакомство с этим плагином для неопытных пользователей. А ведь для таких пользователей данный плагин и создается, поскольку все более опытные используют PGP или S/MIME.
Да и зависимость от браузера - то же не есть хорошо. А что, если пользователь использует Edge? А ведь этот браузер, не смотря на популярность Chrome и Firefox, довольно популярен только потому, что он «придворный» браузер Microsoft.

Плагин браузера SecureGmail

В отличие от PGP Mail, предлагает плагин SecureGmail симметричное шифрование, то есть каждое секретное сообщение шифруется паролем, который должен знать и отправитель, и получатель. Такая система шифрования может использоваться при полном доверии между всеми ее участниками. К тому же при росте количества участников придется увеличивать и количество ключей. Например, вы переписываетесь с Ивановым, Петровым и Сидировым. Можно, конечно, шифровать все сообщения одним паролем, который будут знать все три адресата. Но это не есть правильно. Правильнее создать отдельные ключи (пароли) для каждого из адресатов. Когда их трое, особых проблем это не составит. Но когда вам нужно обмениваться электронной почтой с сотнями адресатов, как запомнить все ключи? Следовательно, такая система шифрования удобна при обмене электронной почтой с небольшой группой адресатов.

Плагин SecureGmail работает в паре с браузером Chrome, остальные браузеры он не поддерживает.


Рис. 5. Плагин SecureGmail

Плагин браузера Encrypted Communication

Плагин Encrypted Communication по своему функционалу похож на SecureGmail, однако работает только в браузере Firefox, остальные браузеры не поддерживаются.

О недостатках симметричной системы шифрования мы уже говорили, поэтому не будем повторяться. Если вы переписываетесь секретной информацией с одним-двумя пользователями, такие плагины еще оправдывают свое существование. В противном случае лучше использовать ассиметричную систему.


Рис. 6. Плагин Encrypted Communication

Преимущество подобных плагинов - простота использования. Не нужно разбираться ассиметричным шифрованием (ведь концепция открытого/закрытого ключа может показаться сложной новичкам), не нужно морочить голову с ключами, их резервным копированием. Просто нужно помнить пароль и желательно сообщить его своим друзьям так, чтобы злоумышленник не мог перехватить его.

Плагин почтового клиента Enigmail

Аналогично браузерам, для почтовых клиентов также существуют плагины шифрования. Один из них - Enigmail . Представляет собой OpenPGP-плагин для Thunderbird и Postbox.

Особых преимуществ у этого решения нет, поскольку все равно приходится устанавливать и настраивать дополнительное программное обеспечение - программу GnuPG. Когда все настроено, можно сказать, что плагин удобен в использовании.

Недостаток - все равно нужно вникать в асимметричную систему шифрования и разбираться, что есть открытый и закрытый ключ и для чего используется каждый из них. Впрочем, это недостаток всех способов, использующих асимметричную криптографию. Здесь или безопасность и знание или же незнание и симметричная криптография.

Угрозы и средства защиты

Далее мы рассмотрим матрицу угроз (табл. 2), но сначала предлагаем вам ознакомиться с общей таблицей преимуществ и недостатков каждого средства защиты электронной почты.

Таблица 1. Сравнительная таблица средств защиты почты

При построении таблицы 2 мы взяли за основу матрицу угроз проекта HushMail, дополнили ее и можем использовать для сравнения описанных в таблице средств защиты электронной почты. Номер средства в этой таблице соответствует номеру средства в таблице 1. Значение «Да» означает, что вы защищены от угрозы. Значение «Да/Нет» означает, что есть какие-либо ограничения, о которых мы расскажем.

Таблица 2. Сравнение средств защиты электронной почты в разрезе матрицы угроз

Прокомментируем данную таблицу на примере средств защиты PGP Desktop и Huhsmail (колонки 1 и 3).
Поскольку шифрование осуществляется на стороне клиента, то программа PGP Desktop защищает вашу переписку от прослушивания Интернет-соединения. Что же касается HushMail, приходится полагаться только на SSL. Но такую защиту предлагает и gmail и если вас в первую очередь интересует именно защита от «прослушки» Интернет-соединения, то можно вообще не использовать какие-либо средства защиты. Однако на сайте HushMail указано, что сервис защищает от прослушки, поэтому в таблице указано «Да».

Что будет, если злоумышленник узнает ваш пароль от почтового ящика? Поскольку на сервере письма хранятся в зашифрованном виде, то ничего страшного не произойдет - максимум, что он сможет прочитать - это спам (куда же без него) и прочую неважную корреспонденцию, которую вы никак не шифровали.

А что будет, если злоумышленник компрометирует или контролирует сам веб-сервер? PGP Desktop, как и любое средство, где шифрование происходит на стороне клиента, защитит вас от этой неприятности. Ведь данные с пользовательского компьютера уже пересылаются в зашифрованном виде. Чего не скажешь о HushMail. Да, от прослушки спасает протокол SSL, а «внутри него» данные передаются в открытом виде, пока не происходит шифрование на самом сервере. Поэтому веб-сервер обладает полным доступом к данным. Это и есть ответ на вопрос, как администрация HushMail смогла предоставить доступ к переписке при судебном разбирательстве.

При использовании PGP Desktop после расшифровки сообщения хранятся в незашифрованном виде. Поэтому если кто-то получит доступ к вашему компьютеру после прочтения ваши письма или же завладеет вашим жестким диском, то PGP Desktop вам мало чем поможет. Конечно, если PGP Desktop не была запущена на момент поступления сообщения, следовательно, его не было кому расшифровать, тогда может информация все еще останется в тайне. Поэтому напротив PGP Desktop в таблице 2 стоит значение Да/Нет для последней угрозы. Что же касается HushMail, то вам не нужно беспокоиться об этих угрозах - ведь сообщения находится на сервере в зашифрованном виде.

Зато оба средства защиты уязвимы при использовании keylogger. Если злоумышленник перехватит ваши пароли (в частности, от сертификатов), то вам уже ничто не поможет. Разве что переход на токены вместо ввода паролей.
Все остальные средства защиты используют шифрование на стороне клиента, поэтому им не страшен ни перехват, ни доступ к вашему почтовому ящику - сообщения будут зашифрованы. Единственно, что предоставляет угрозу для этих средств защиты - это перехват ввода с клавиатуры. Злоумышленник может получить доступ не только к вашим паролям, но и к обычному тексту, который вы вводите в теле сообщения перед тем, как оно будет зашифровано. Кстати, нужно сделать важное замечание относительно S/MIME, а именно почему при правильном использовании S/MIME может не помочь даже «кейлоггер». Если ключ добавлен в хранилище, как не экспортируемый (что, кстати и делает CyberSafe Top Secret), то у злоумышленника ничего не выйдет. Именно поэтому на данный момент S/MIME можно считать самым надежным способом защиты электронной почты.

Общая информация о средствах защиты электронной почты приводится в таблице 3.

Таблица 3. Сводка по средствам защиты электронной почты

Выводы

Самый простой способ защиты электронной почты - это использование симметричного шифрования. Для его реализации можно использовать плагины браузера SecureGmail и Encrypted Communication или вообще обойтись без них, а использовать программы, позволяющие создавать архивы, защищенные паролем (например, WinRAR, 7-Zip). Расчет прост: вы защищаете архивом файл, помещаете в него сообщение с возможными вложениями и отправляете другому человеку. Он, зная пароль, открывает архив. Самый простой в реализации, но не очень простой в использовании способ. Создавать архив для каждого нового сообщения - довольно рутинно. Плагины SecureGmail и Encrypted Communication делают симметричное шифрование более удобным, но безопаснее оно от этого не становится.
Более надежная система асимметричного шифрования. Она реализована множеством самых разных способов. Можно использовать стандарт S/MIME (что позволяет использовать асимметричную криптографию даже на мобильных устройствах), можно использовать PGP и производные продукты (OpenPGP, PGP Mail, GnuPG).

В идеале мы как раз и рекомендуем использовать стандарт S/MIME как наиболее надежный и универсальный.
Надежность его заключается в том, что в самом почтовом клиенте сообщения хранятся в зашифрованном виде и расшифровываются только по мере обращения к ним (то есть если кто-то завладеет вашим жестким диском, он не сможет расшифровать ваши сообщения). При расшифровке запрашивается пароль, который знаете только вы (в отличие от симметричного шифрования, где пароль знают, как минимум двое).

Универсальность заключается в том, что один раз создав свой сертификат, вы можете использовать его в любых почтовых клиентах (разумеется, с поддержкой S/MIME), а также в любых операционных системах, в которых работают эти почтовые клиенты. Например, вы можете сгенерировать сертификат Windows-программой, установить его в Outlook и в мобильном почтовом клиенте MailDroid. Никаких ограничений на использование сертификатов нет. Главное при использовании S/MIME выбрать удобную программу для создания самих сертификатов. Желательно, чтобы она позволяла публиковать сертификаты на сервере ключей и управлять ними.

Эта статья описывает, как настроить Thunderbird на цифровую подпись, шифрование и расшифрование сообщений, чтобы повысить защиту переписки.

Введение

При разработке инфраструктуры электронной почты, которая используется каждым из нас, в ней не был предусмотрен механизм обеспечения защиты. В то время, как большинство людей подключается к серверам электронной почты с использованием защищённого соединения ("SSL"), некоторые серверы разрешают незащищённый доступ. Более того, когда сообщение перемещается по цепочке от отправителя к получателю, соединение между каждым из серверов не обязательно является защищённым. Это дает возможность третьей стороне осуществлять перехват, чтение и подмену сообщений электронной почты при их передаче.

Когда вы подписываете сообщение цифровой подписью , вы внедряете в сообщение информацию, удостоверяющую вашу личность. Когда вы зашифровываете сообщение, это значит что оно будет выглядеть "закодированным", и может быть прочтено только тем человеком, кто имеет ключ для расшифровки сообщения. Цифровая подпись сообщения гарантирует, что сообщение пришло от заявленного отправителя. Шифрование гарантирует, что сообщение не будет прочитано или изменено во время передачи.

Чтобы зашифровать сообщение, вы можете использовать криптосистему с открытым ключом . В такой системе, каждый участник имеет два отдельных ключа: открытый ключ и закрытый ключ . Когда кто нибудь хочет послать вам зашифрованное сообщение, он или она использует ваш открытый ключ, чтобы сгенерировать алгоритм шифрования. Когда вы получаете сообщение, вы должны использовать ваш закрытый ключ, чтобы его расшифровать.

Важно: Никогда никому не давайте ваш закрытый ключ.

Протокол, используемый для шифрования электронной почты, называется PGP (Pretty Good Privacy). Чтобы использовать PGP в Thunderbird, нужно сначала установить:

  • GnuPG : (GNU Privacy Guard): свободную реализацию PGP
  • Enigmail : дополнение для Thunderbird

Оба из этих приложений также предоставляют возможность цифровой подписи сообщения.

Установка GPG и Enigmail

Чтобы установить GnuPG, загрузите соответствующий вашей платформе пакет со страницы загрузки GnuPG . Выполните пункты инструкции установщика. Для получения более подробной информации по установке PGP на конкретную операционную систему прочтите:

Чтобы установить Enigmail:

  1. В Thunderbird выберите Инструменты > Дополнения .
  2. Используйте панель поиска в верхнем правом углу, чтобы найти Enigmail.
  3. Выберите Enigmail из списка результатов поиска и выполните инструкции по установке дополнения.

Создание ключей PGP

Создайте пару открытый/закрытый ключ следующим образом:

Отправка и получение открытых ключей

Отправка вашего открытого ключа по электронной почте

Для получения зашифрованных сообщений от других людей, вы должны сначала отправить им свой открытый ключ:

Получение открытого ключа по электронной почте

Чтобы отправлять зашифрованные сообщения другим людям, вы должны получить и сохранить их открытые ключи:

Отправка подписанной и/или зашифрованной электронной почты

Примечание: Строка «Тема» сообщения зашифрована не будет.

Чтение подписанной и/ или зашифрованной электронной почты

Когда вы получите зашифрованное сообщение, Thunderbird попросит вас ввести ваш секретный пароль, чтобы расшифровать сообщение. Чтобы определить, было или нет входящее сообщение подписано или зашифровано, вам необходимо посмотреть на панель информации над телом сообщения.

Если Thunderbird распознает подпись, над сообщением появится зеленая панель (как показано ниже).

Если сообщение было зашифровано и подписано, то в зеленой панели также появится текст "Расшифрованное сообщение".

Если сообщение было зашифровано, но не подписано, то появится панель, показанная на рисунке ниже.