Плагин почтового клиента enigmail
Аналогично браузерам, для почтовых клиентов также существуют плагины шифрования. Один из них —
. Представляет собой OpenPGP-плагин для Thunderbird и Postbox.
https://www.youtube.com/watch?v=
Особых преимуществ у этого решения нет, поскольку все равно приходится устанавливать и настраивать дополнительное программное обеспечение — программу GnuPG. Когда все настроено, можно сказать, что плагин удобен в использовании.
Недостаток — все равно нужно вникать в асимметричную систему шифрования и разбираться, что есть открытый и закрытый ключ и для чего используется каждый из них. Впрочем, это недостаток всех способов, использующих асимметричную криптографию. Здесь или безопасность и знание или же незнание и симметричная криптография.
Плагин браузера encrypted communication
по своему функционалу похож на SecureGmail, однако работает только в браузере Firefox, остальные браузеры не поддерживаются.
О недостатках симметричной системы шифрования мы уже говорили, поэтому не будем повторяться. Если вы переписываетесь секретной информацией с одним-двумя пользователями, такие плагины еще оправдывают свое существование. В противном случае лучше использовать ассиметричную систему.
Рис. 6. Плагин Encrypted Communication
Преимущество подобных плагинов — простота использования. Не нужно разбираться ассиметричным шифрованием (ведь концепция открытого/закрытого ключа может показаться сложной новичкам), не нужно морочить голову с ключами, их резервным копированием. Просто нужно помнить пароль и желательно сообщить его своим друзьям так, чтобы злоумышленник не мог перехватить его.
Плагин браузера pgp mail
Позволяет использовать асимметричное шифрование (то есть шифрование с открытым/закрытым ключами) на стороне клиента. О возможностях данного плагина можно прочитать
. Нужно упомянуть лишь четыре его особенности:
То, что шифрование производится на стороне клиента — это единственное преимущество данного плагина. А вот рекомендация использования TOR может усложнить знакомство с этим плагином для неопытных пользователей. А ведь для таких пользователей данный плагин и создается, поскольку все более опытные используют PGP или S/MIME.
Плагин браузера securegmail
В отличие от PGP Mail, предлагает плагин
симметричное шифрование, то есть каждое секретное сообщение шифруется паролем, который должен знать и отправитель, и получатель. Такая система шифрования может использоваться при полном доверии между всеми ее участниками. К тому же при росте количества участников придется увеличивать и количество ключей.
Например, вы переписываетесь с Ивановым, Петровым и Сидировым. Можно, конечно, шифровать все сообщения одним паролем, который будут знать все три адресата. Но это не есть правильно. Правильнее создать отдельные ключи (пароли) для каждого из адресатов.
Когда их трое, особых проблем это не составит. Но когда вам нужно обмениваться электронной почтой с сотнями адресатов, как запомнить все ключи? Следовательно, такая система шифрования удобна при обмене электронной почтой с небольшой группой адресатов.
Плагин SecureGmail работает в паре с браузером Chrome, остальные браузеры он не поддерживает.
Рис. 5. Плагин SecureGmail
Средства защиты электронной почты
Далее будут рассмотрены различные средства защиты электронной почты и приведены преимущества и недостатки каждого из них.
Ссылки по теме
- Использование S / MIME на устройствах iOS – feinstruktur
- Использование S / MIME на устройствах iOS – советы по Mac OS X
- Я потратил на это слишком много времени – мой сертификат Comodo был установлен, но электронные письма не подписывались (с использованием iOS 9.2.1, кстати). Я выполнил ваши инструкции и получил сертификат от StartSSL, но у меня все еще есть та же проблема – электронные письма не подписываются моим открытым ключом, когда он включен. (Теперь я сделал свой новый ключ 4096 бит – может, iOS не нравится такая длина ключа?) Какие-нибудь предложения относительно того, как заставить это работать? Каких поставщиков сертификатов вы используете?
- 1 @Conrad Я подписываюсь с помощью бесплатного сертификата Comodo, созданного с настройками по умолчанию (2048 бит, я думаю).
У меня были те же проблемы, но я исправил их другим способом. Если вы хотите установить свой частный сертификат.
Сначала установите общедоступный сертификат выдающего центра сертификации, затем установите свой частный сертификат в качестве второго.
Это отлично работало с моими собственными сертификатами 🙂
- FWIW, этот ответ от @Marco сработал для меня, но только ПОСЛЕ того, как я удалил и повторно установил учетную запись электронной почты, которая не доверяла моим самозаверяющим сертификатам. В iOS Apple явно кэширует сертификаты и их статус доверия в учетных записях электронной почты, и даже если вы удалите и переустановите новые профили, вы не сможете избавиться от этих кешированных сертификатов – даже при перезагрузке устройства. Кажется, единственный способ сделать это – удалить, а затем перенастроить учетную запись электронной почты.
У меня есть сертификат COMODO, и я смог заставить его работать. Важно полностью удалить ранее существующие сертификаты и перезапустить iPhone / iPad. Затем установите новый сертификат и проверьте, назначен ли он в настройках Почты.
У меня тоже были такие проблемы, и я терял на них часы.
Теперь я могу это сделать с iOS 13.3.1.
Я успешно установил сертификат Actalis SMIME, выполнив следующие действия:
отправить сертификат в распакованном виде и прикрепить к электронному письму, для которого он должен использоваться,
в iOS Mail получите письмо и установите профиль: коснитесь вложения, введите код …
следуйте инструкциям: перейдите в настройки, найдите свой профиль с ожидающим сертификатом под ним, подтвердите его.
Теперь вы можете получать зашифрованную почту, но не можете подписывать или отправлять зашифрованную почту. Следовательно, вы должны перейти в настройки, учетные записи, IMAP, открыть учетную запись, расширить и выбрать сертификат, который вы только что установили, для подписи и шифрования.
Он должен работать без удаления просроченных сертификатов. Если вы удалите просроченные сертификаты, вы не сможете читать электронные письма, которые были зашифрованы для этого, поэтому будьте осторожны.
Есть предупреждение “сертификат не подписан”. В конце концов, это, кажется, ничему не препятствует. Может быть, кто-нибудь объяснит, почему, как, кем должен быть подписан сертификат. Я думаю, что это было причиной старых проблем, которые были решены примерно в начале 2021 года. Это можно было проверить в примечаниях к выпуску iOS.
Угрозы и средства защиты
Далее мы рассмотрим матрицу угроз (табл. 2), но сначала предлагаем вам ознакомиться с общей таблицей преимуществ и недостатков каждого средства защиты электронной почты.
Таблица 1. Сравнительная таблица средств защиты почты
При построении таблицы 2 мы взяли за основу матрицу угроз проекта HushMail, дополнили ее и можем использовать для сравнения описанных в таблице средств защиты электронной почты. Номер средства в этой таблице соответствует номеру средства в таблице 1.
Таблица 2. Сравнение средств защиты электронной почты в разрезе матрицы угроз
Прокомментируем данную таблицу на примере средств защиты PGP Desktop и Huhsmail (колонки 1 и 3). Поскольку шифрование осуществляется на стороне клиента, то программа PGP Desktop защищает вашу переписку от прослушивания Интернет-соединения. Что же касается HushMail, приходится полагаться только на SSL.
Но такую защиту предлагает и gmail и если вас в первую очередь интересует именно защита от «прослушки» Интернет-соединения, то можно вообще не использовать какие-либо средства защиты. Однако на сайте HushMail указано, что сервис защищает от прослушки, поэтому в таблице указано «Да».
Что будет, если злоумышленник узнает ваш пароль от почтового ящика? Поскольку на сервере письма хранятся в зашифрованном виде, то ничего страшного не произойдет — максимум, что он сможет прочитать — это спам (куда же без него) и прочую неважную корреспонденцию, которую вы никак не шифровали.
А что будет, если злоумышленник компрометирует или контролирует сам веб-сервер? PGP Desktop, как и любое средство, где шифрование происходит на стороне клиента, защитит вас от этой неприятности. Ведь данные с пользовательского компьютера уже пересылаются в зашифрованном виде.
Чего не скажешь о HushMail. Да, от прослушки спасает протокол SSL, а «внутри него» данные передаются в открытом виде, пока не происходит шифрование на самом сервере. Поэтому веб-сервер обладает полным доступом к данным. Это и есть ответ на вопрос, как администрация HushMail смогла предоставить доступ к переписке при судебном разбирательстве.
При использовании PGP Desktop после расшифровки сообщения хранятся в незашифрованном виде. Поэтому если кто-то получит доступ к вашему компьютеру после прочтения ваши письма или же завладеет вашим жестким диском, то PGP Desktop вам мало чем поможет. Конечно, если PGP Desktop не была запущена на момент поступления сообщения, следовательно, его не было кому расшифровать, тогда может информация все еще останется в тайне.
Зато оба средства защиты уязвимы при использовании keylogger. Если злоумышленник перехватит ваши пароли (в частности, от сертификатов), то вам уже ничто не поможет. Разве что переход на токены вместо ввода паролей. Все остальные средства защиты используют шифрование на стороне клиента, поэтому им не страшен ни перехват, ни доступ к вашему почтовому ящику — сообщения будут зашифрованы.
Единственно, что предоставляет угрозу для этих средств защиты — это перехват ввода с клавиатуры. Злоумышленник может получить доступ не только к вашим паролям, но и к обычному тексту, который вы вводите в теле сообщения перед тем, как оно будет зашифровано.
Кстати, нужно сделать важное замечание относительно S/MIME, а именно почему при правильном использовании S/MIME может не помочь даже «кейлоггер». Если ключ добавлен в хранилище, как не экспортируемый (что, кстати и делает CyberSafe Top Secret), то у злоумышленника ничего не выйдет. Именно поэтому на данный момент S/MIME можно считать самым надежным способом защиты электронной почты.
Общая информация о средствах защиты электронной почты приводится в таблице 3.
Таблица 3. Сводка по средствам защиты электронной почты
Выводы
Самый простой способ защиты электронной почты — это использование симметричного шифрования. Для его реализации можно использовать плагины браузера SecureGmail и Encrypted Communication или вообще обойтись без них, а использовать программы, позволяющие создавать архивы, защищенные паролем (например, WinRAR, 7-Zip). Расчет прост: вы защищаете архивом файл, помещаете в него сообщение с возможными вложениями и отправляете другому человеку.
Он, зная пароль, открывает архив. Самый простой в реализации, но не очень простой в использовании способ. Создавать архив для каждого нового сообщения — довольно рутинно. Плагины SecureGmail и Encrypted Communication делают симметричное шифрование более удобным, но безопаснее оно от этого не становится.
Более надежная система асимметричного шифрования. Она реализована множеством самых разных способов. Можно использовать стандарт S/MIME (что позволяет использовать асимметричную криптографию даже на мобильных устройствах), можно использовать PGP и производные продукты (OpenPGP, PGP Mail, GnuPG).
В идеале мы как раз и рекомендуем использовать стандарт S/MIME как наиболее надежный и универсальный. Надежность его заключается в том, что в самом почтовом клиенте сообщения хранятся в зашифрованном виде и расшифровываются только по мере обращения к ним (то есть если кто-то завладеет вашим жестким диском, он не сможет расшифровать ваши сообщения).
Универсальность заключается в том, что один раз создав свой сертификат, вы можете использовать его в любых почтовых клиентах (разумеется, с поддержкой S/MIME), а также в любых операционных системах, в которых работают эти почтовые клиенты. Например, вы можете сгенерировать сертификат Windows-программой, установить его в Outlook и в мобильном почтовом клиенте MailDroid.