Обучение
Life-HackДоброго времени суток.
В данной статье хочу рассмотреть способы защиты электронной почты и различные "защищенные" сервисы электронной почты. Но хочу предупредить что электронная почта сама по себе не безопасна, так как когда человек отправляет из Оксфорда через Gmail письмо на Yahoo! Mail другу в Сан-Франциско, сообщение может быть перехвачено минимум 7 раз: на компьютере отправителя, при передаче на сервер Gmail, на сервере Gmail, при передаче из Gmail на Yahoo!, на серверах Yahoo! Mail, при передаче на компьютер друга и, наконец, на компьютере получателя. Всем известно, что цепь крепка настолько, насколько крепко ее слабое звено, поэтому, даже если оба участника переписки сделают всё возможное, чтобы обезопасить свои компьютеры, им все равно придется полагаться на защиту сервисов Gmail и Yahoo!
У спецслужб я думаю имеется возможность получить информацию во всех семи точках)
Приведу ссылку на исследование популярных защищенных сервисов e-mail, исследование датировано 17.02.2017, поэтому на актуальность конечно не претендует, но для информации вполне сойдет.
Если выбирать лучший сервис, исходя из многих факторов, я бы назвал таковым ProtonMail. Данный выбор обусловлен тем что ProtonMail является исключительно веб-почтой. У него нет поддержки стандартных почтовых протоколов. Веб-интерфейс, естественно, работает через HTTPS. Внутри используется реализация OpenPGP на JavaScript. Также плюсом в копилку этого сервиса будет то что шифрование текста происходит непосредственно в браузере, и на сервер отправляется и там хранится только шифрованная копия. Авторы сервиса утверждают, что даже в судебном порядке им не удастся расшифровать сообщение.
Но следует учесть то что на данный момент нет какой то панацеи, то есть нельзя определить безупречный с технической точки зрения сервис.
Вместе с этим, ниже приведу список почтовых сервисов, так или иначе стремящихся сохранить безопасность ваших данных, чтобы вы смогли выбрать лучший для себя.
Anonymous Email (TorGuard) - разработчики сервиса не хотят, чтобы их проект ассоциировался с браузером Tor, т.к он давно отделен от внутренней системы обмена сообщениями луковичной системы и ориентирован на самостоятельную работу в качестве защищенной почты.Этот сервис обеспечивает вас анонимной входящей почтой и большим количеством опций защиты и кодировки. Вы получаете 10 Мб свободной памяти и безопасность за счет использования SSL кодирования для связи и G/PGP кодирования для засекречивания сообщений.
Bitmessage Mail Gateway - на бесплатной основе сервис предоставляет приемлемую для email защиту, возможность настраивать фильтр сообщений, выходить через Tor с удобным адресом, и др.
Secure Mail - Этот сервис шифрует ваши сообщения за счет использования 4096-битного ключа. А это значит, что прочесть сообщение не сможет никто, кроме вас. Для регистрации вам не нужно предоставлять какие-либо персональные данные или IP-адрес. Спам полностью блокируется
Scryptmail - в целом позволяет более тонко настраивать защиту, загружая публичные ключи согласно своим предпочтениям, доступны двух факторная аутентификация, временные адреса, возможность хранения защищенной базы паролей; информация об активности не транслируется, есть ограничение в 1000 сообщений.
S-Mail - исходя из заявлений разработчиков, сервис также весьма привлекателен в смысле использующегося уровня шифрования данных(SSL,PGP,DSA) и предоставляемыми возможностями. Имеются 2 типа подписок (отличаются свободным местом и т.д.)
Tutanota- Основными плюсами являются: открытый исходный код, используется симметричное шифрование (AES, RSA) для хеширования пароля и данных, есть приложения в google play и app store; пользователю предоставляется 1Гб памяти бесплатно, можно взаимодействовать со сторонними сервисами.
Рассуждать на эту тему можно бесконечно долго, но исходя из вышесказанного приведу несколько простых правил для повышения безопасности и сохранения конфиденциальности переписки.
1. Самым надежным способом обезопасить электронную почту является отказ от использования электронной почты шифрование. В нашем случае я бы рекомендовал PGP
(PGP (англ. Pretty Good Privacy) — компьютерная программа, также библиотека функций, позволяющая выполнять операции шифрования и цифровой подписи сообщений, файлов и другой информации, представленной в электронном виде, в том числе прозрачное шифрование данных на запоминающих устройствах, например, на жёстком диске.) То есть простыми словами данный способ превращает вашу переписку в бессмысленный поток данных(за исключением отправителя и получателя).
Самым простым способом реализации такого подхода является Mozilla Thunderbird с расширением Enigmail
(Enigmail — дополнение, осуществляющее шифрование и расшифровку, предназначенное для таких приложений как Mozilla Thunderbird и SeaMonkey. Дополнение поддерживает расшифровку и подписание электронных писем с помощью открытых ключей OpenPGP).
Но тут стоит учесть один момент что PGP принадлежит Symantec и нельзя исключать тот факт, что данная компания скорее всего сотрудничает с АНБ и алгоритм содержит backdoor или имеет мастер-ключ для расшифровки всех интересующих сообщений.
2. Если предыдущий вариант не устраивает, и вы хотите пользоваться известными почтовыми клиентами, нужно учитывать географическое расположение сервера. Я бы не стал доверять сервисам из US так как там конфиденциальности переписки уделяется минимум внимания. Исходя из лицензионного соглашения gmail по истечении 180 дней ваши электронные письма на серверах американских почтовых провайдеров становятся собственностью США. Также следует пользоваться провайдерами с нулевым разглашением информации, это значит, что даже у самого оператора почты не должно быть доступа к исходному тексту письма.
3. Если учесть 2 предыдущих пункта, самым логичным способом является разворачивание собственного почтового сервера. Данный способ имеет очевидный плюс, в случае заинтересованности содержимым почты, злоумышленнику придется создавать конкретный backdoor, что при соблюдении определенных принципов и методик будет очень сложно. Вариантов реализации тут масса, но следует учитывать, что реализация потребует вычислительных мощностей и времени на администрирование.
Все вышесказанное говорит только о том, что необходимо более тщательно следить за анонимностью и безопасностью в сети, тем более в наш век бурного развития методик защиты и еще более бурного развития методик и векторов атак на информацию
P.S. Тот кто считает это паранойей, ознакомитесь скажем с данной программой, с бюджет 20 млн. долларов США в год