her er hvorfor din e-mail er usikker og sandsynligvis forbliver sådan

e – mail er den mest allestedsnærværende kommunikationsmetode på internettet-måske endda på planeten. Det er indbygget i næsten alt, fra telefoner og tablets til traditionelle computere til spilenheder – heck, selv tilsluttede husholdningsapparater og biler kan gøre e-mail. Endnu vigtigere, at være “på internettet” betyder at have en e-mail-adresse (eller snesevis af dem); de er vores ID ‘ er, hvordan vi tilmelder os ting, hvordan vi modtager meddelelser, og nogle gange endda kommunikere med hinanden. E-mail er den oprindelige “killer app.”

men e-mail blev ikke designet med noget privatliv eller sikkerhed i tankerne. Der har været mange bestræbelser på at gøre e-mail mere sikker, men den nylige nedlukning af højt spionerede sikre e-mail-tjenester som Lavabit og Silent Circle i kølvandet på regeringens overvågningsprogrammer fremhæver vanskelighederne. Mangel på e-mail-sikkerhed har også nogle overraskende sikkerhedsskader, som den annoncerede nedlukning af den respekterede program-og lovblog.

er e-mail sikkerhed håbløs? Ser vi på slutningen af internettets killer-app?

Hvorfor er e-mail Ikke sikker?

e-mail er ikke sikker, fordi det aldrig var meningen at være centrum for vores digitale liv. Det blev udviklet, da internettet var et meget mindre sted at standardisere simpel butik og videresendelse mellem mennesker, der bruger forskellige slags computere. E – mail blev alle overført helt i det åbne-alt kunne læses af alle, der kunne se netværkstrafik eller få adgang til konti (oprindeligt var ikke engang adgangskoder krypteret). Utroligt nok fungerer e-mail sendt ved hjælp af disse vidt åbne metoder stadig (for det meste).

i dag er der fire grundlæggende steder, hvor de fleste menneskers e-mail kan blive kompromitteret:

  • på din(e) enhed (er)
  • på netværkene
  • på serveren(e)
  • på modtagerens enhed(er))

de første og sidste steder – enheder – er lette at forstå. Hvis nogen kan sidde ved din computer, tag din telefon, eller Stryg gennem din tablet, odds er, at din e – mail sidder lige der for dem at læse-du bruger en låseskærm eller adgangskode på dine enheder, højre? Det samme gælder for dine modtageres enheder. Men selv adgangskoder og låseskærme er nogle gange ikke meget hjælp. Mens et par e-mail-programmer krypterer de e-mail-meddelelser, de gemmer på enheden, gør de fleste det ikke. det betyder, at enhver (eller ethvert program), der kan få adgang til enhedens interne lager, sandsynligvis også kan læse e-mail og komme til vedhæftede filer. Lyder langt ude? Det behøver ikke at være en person; rifling via e-mail er en af de mest almindelige ting, som virus gør.

netværk er lidt sværere at forstå, og dækker tre grundlæggende links:

  • din forbindelse til din e-mailudbyder (uanset om det er din internetudbyder, Google, Outlook, Yahoo, Apple eller en anden)
  • eventuelle netværksforbindelser mellem din e-mailudbyder og din modtager
  • din modtagers netværksforbindelse til deres e-mailudbyder.

hvis du sender e-mail til nogen på den samme tjeneste, du bruger (f.eks.com), har du mindst den første og tredje potentielle netværkssårbarheder: din forbindelse til Outlook.com din modtagers forbindelse til Outlook.com. hvis din modtagers e-mail er et andet sted (siger et firma eller en skole), har du mindst en mere: forbindelsen mellem Outlook.com modtagerens e-mail-udbyder. Virkeligheden af netværkstopografi betyder, at hver af disse forbindelser involverer en række routere og afbrydere (måske et dusin eller mere), sandsynligvis ejet og drevet af forskellige outfits. Hvis en forbindelse er sikker, er der ingen garanti for, at nogen anden forbindelse i sekvensen er sikker. Og hvis du er bekymret for ting som NSA ‘ s PRISM-overvågningsprogram, er indikationer hidtil, at noget af det sker på disse midlertidige netværkspunkter.

e-mail blev ikke designet med noget privatliv eller sikkerhed i tankerne.

servere er maskinerne hos din e-mailudbyder eller internetudbyder, der fysisk gemmer din e-mail. Hvis nogen revner (eller gætter eller stjæler) din e-mail-adgangskode, har de sandsynligvis ikke brug for dine enheder; de kan logge ind på din e-mail-udbyder direkte og læse enhver e-mail, der er gemt der. Det kan kun være et par meddelelser, men det kan være uger, måneder eller år værd af e – mail-herunder i det mindste nogle meddelelser, du har slettet. Men det er ikke den eneste risiko. De fleste e-mail-tjenester gemmer dine meddelelser som almindelig tekst. Så enhver angriber, der kan få adgang til disse servere (f.eks. via en sikkerhedsfejl eller ved at stjæle en administratoradgangskode), kan nemt få adgang til alle de gemte e-mails og vedhæftede filer. Hvorfor beskytter udbydere ikke gemt e-mail? Dels på grund af den overhead, der ville skabe, men lagring af e-mailen ukrypteret lader folk søge i deres meddelelser (du kan lide at søge i din e-mail, ikke?) og gør det muligt for tjenester som Gmail automatisk at scanne mail efter nøgleord for at sælge reklame (og du kan lide reklame, ikke?).

kryptering til undsætning!

den bedste måde at beskytte kommunikation på er at kryptere dem: grundlæggende krypterer dataene med komplekse matematiske transformationer, så de kun er forståelige ved hjælp af den korrekte adgangskode eller andre legitimationsoplysninger. En almindelig form for kryptering er offentlig nøglekryptografi, hvor folk (eller internetudbydere eller virksomheder) giver væk en offentlig nøgle, som enhver kan bruge til at kryptere data beregnet til dem, men kun kan afkodes ved hjælp af en privat nøgle, som personen (eller internetudbyderen eller virksomheden) holder hemmelig.

offentlig nøglekryptografi er grundlaget for to primære måder at beskytte e-mail på:

  • kryptering af meddelelser
  • kryptering af netværksforbindelser

kryptering af meddelelser

ideen bag krypterede meddelelser er ligetil: i stedet for at sende almindelig tekst alle kan læse, du sender scrambledegook kun den tilsigtede modtager kan læse. Almindelige værktøjer til kryptering af e-mail inkluderer PGP (nu et kommercielt produkt fra Symantec) og adskillige almindelige apps og værktøjer, der understøtter open source opengpg og S/MIME.

kryptering af meddelelser er en ligetil ide, men tilgangen har fordele og ulemper. På den positive side er krypterede meddelelser beskyttet på tværs af både netværk og servere, selvom de er kompromitteret eller gemmer meddelelser som almindelig tekst. (Gobbledegook kunne dog få Gmail til at tjene nogle underlige annoncer!) Meddelelsen er sandsynligvis også krypteret på din enhed og din modtagers enheder (indtil de afkoder den), hvilket giver en vis ekstra beskyttelse. Det er alt sammen godt.

nu ulemperne. Kryptering af individuelle meddelelser er en smerte. Du skal have den offentlige nøgle til alle, du vil kommunikere sikkert med. For en eller to personer er det ikke dårligt, men de fleste mennesker har snesevis (eller hundreder) af kontakter. At få dem alle i gang med offentlig nøglekryptografi vil ikke være let.

yderligere, alle, der ønsker at sende dig sikker e-mail har brug for din offentlige nøgle! Du kan sende det til dem via e-mail … men det bliver ikke krypteret, så det ikke er sikkert. Samme med et blogindlæg eller en Facebook-side eller keyserver-tjenester eller enhver anden usikker kanal. Den eneste rigtig sikre måde at udveksle offentlige nøgler på er ansigt til ansigt eller på en anden måde kan du være helt sikker på, at du får den rigtige nøgle fra den rigtige person. Det kan være vildt upraktisk. Nogle mennesker, der sender dig følsom e – mail – som banker, kreditkortselskaber, hospitaler, skoler eller den lokale fertilitetsklinik-vil sandsynligvis ikke (eller ved ikke hvordan) bruge din offentlige nøgle, selvom de havde den. Bundlinjen, ikke mange af dine e-mails bliver krypteret, så kryptering af meddelelser er ikke en generel løsning til sikker e-mail.

men vent! Der er flere ulemper ved kryptering af meddelelser. Kun meddelelsens indhold (og eventuelle vedhæftede filer) er krypteret. Overskriftsoplysningerne (inklusive din adresse, modtagerens adresse, emne, dato og mere) er alle stadig almindelig tekst, som alle kan læse. Disse oplysninger kan bare være metadata, men over tid kan det male et overraskende detaljeret billede af dine online aktiviteter. (Bare spørg NSA!) Vil du have en anden ulempe? Prøv at logge ind på din e-mail og søge via krypteret mail efter et telefonnummer eller en adresse.

kryptering af forbindelser

besvær med krypterede meddelelser betyder, at meget af fokus på at sikre e-mail har været på kryptering af netværksforbindelser. Den grundlæggende ide er den samme som at bruge en sikker hjemmeside som din bank eller Amazon.com. når du opretter forbindelse til din e-mailudbyder, bruger dit program Transport Layer Security (TLS, stadig bedre kendt som SSL) til at kryptere forbindelsen mellem din enhed og tjenesten. Det tager endda sig af at udveksle nøgler: de fleste enheder i dag leveres forudinstalleret med nøgler til certifikatmyndigheder, hvor de kan hente godkendte nøgler til sider og tjenester uden at genere brugerne: ingen muss, ingen ståhej, ingen flyvning til Australien for at udveksle offentlige nøgler med nogen. Den grundlæggende teknologi har arbejdet for e-handel i næsten to årtier.

disse oplysninger kan bare være metadata, men over tid kan det male et overraskende detaljeret billede af dine online aktiviteter.

kryptering af forbindelsen mellem dig og din e-mail-udbyder betyder, at ingen på netværket imellem kan se e-mails, du sender eller modtager: det hele er gobbledegook. Det beskytter dig mod krybningen på det lokale trådløse netværk og endda hemmelige regeringshaner i et datacenter et eller andet sted undervejs.

men når meddelelsen når din e-mail-udbyder, er alle væddemål slået fra. Det meste af tiden gemmer din e-mail-udbyder meddelelsesdataene som almindelig tekst (se ovenfor), selvom der er undtagelser som Canadas Hushmail. Og hvis din modtager er på en anden e-mail-udbyder eller internetudbyder, kan din besked være (og sandsynligvis er!) sendt til dem over Internettet som old-school almindelig tekst e-mail. Et stigende antal e – mail-tjenester bruger TLS til at kryptere forbindelser mellem sig selv, men langt de fleste e-mail-servere i verden udveksler stadig meddelelser uden kryptering-og der er ingen måde for dig at vide. Desuden er der ingen at fortælle, om din modtager vil bruge en beskyttet forbindelse til at modtage eller svare på din e-mail. Du har måske beskyttet dig mod krybningen på det offentlige trådløse netværk, men gjorde din læge eller revisor? Måske ikke.

er e-mail dømt?

e-mail vil ikke gå væk når som helst snart. Det er alt for nyttigt, og det er næsten universel status på næsten alle enheder og service sikrer e-mail vil være med os i mange år.

men sikker e-mail? Hovedpunkterne er, at e-mail, som vi kender den i dag, aldrig har været sikker, og de utallige måder, vi sender, modtager, butik, og brug e-mail-beskeder gør fuld sikring af e-mail til et meget vanskeligt problem. I bedste fald.

vi kan opfinde nye sikre meddelelsestjenester, der kan erstatte e-mail. Det er, hvad Silent Circle har gjort med sin krypterede kommunikationstjeneste, og det er nok, hvad BlackBerry gjorde med BBM, og hvad Apple måske har gjort med iMessage. Ikke desto mindre er disse tjenester underlagt offentliggørelsesanmodninger fra regeringer – selvom Silent Circle tager det interessante skridt at være i stand til at reagere med næsten ingenting. Vigtigere, ingen har sandsynligvis den brede allestedsnærværende og næsten allestedsnærværende rækkevidde af e-mail på ethvert tidspunkt på mellemlang eller endda lang sigt. Forhåbentlig forhindrer vanskeligheden ikke folk i at prøve – og Kim Dotcoms Mega kaster allerede hatten i ringen.

men i overskuelig fremtid kan Internetbrugere ikke forvente, at e-mail er sikker fra nysgerrige øjne eller aflytning. Periode.

topbillede med tilladelse fra /3dreams

Redaktørernes anbefalinger

  • de bedste krypterede messaging-apps til iOS og Android
  • bedste billige VPN-tilbud til februar 2021
  • Sådan stopper du dine e-mails fra at blive sporet og bevare dit privatliv
  • Sådan beskytter du din smartphone mod hackere og ubudne gæster
  • Sådan ændres din Outlook-adgangskode

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.