här är varför din e-post är osäker och sannolikt kommer att förbli så

e – post är den mest allestädes närvarande kommunikationsmetoden på Internet-kanske till och med på planeten. Den är inbyggd i nästan allt, från telefoner och surfplattor till traditionella datorer till spelenheter – heck, även anslutna hushållsapparater och bilar kan göra e-post. Ännu viktigare, att vara ”på Internet” betyder att ha en e-postadress (eller dussintals av dem); de är våra ID, hur vi registrerar oss för saker, hur vi får meddelanden, och ibland även kommunicera med varandra. E-post är den ursprungliga ” killer app.”

men e-post var inte utformad med någon integritet eller säkerhet i åtanke. Det har gjorts många ansträngningar för att göra e-post säkrare, men den senaste avstängningen av högt uppskattade säkra e-posttjänster som Lavabit (enligt uppgift används av NSA-läckaren Edward Snowden) och Silent Circle i kölvattnet av regeringens övervakningsprogram lyfter fram svårigheterna. Brist på e-postsäkerhet har också några överraskande säkerhetsskador, som den tillkännagivna avstängningen av den respekterade programvaran och lagbloggen GrokLaw.

är e-postsäkerhet hopplös? Tittar vi på slutet av Internetets mördare-app?

Varför är inte e-post säkert?

e-post är inte säkert eftersom det aldrig var tänkt att vara centrum för våra digitala liv. Det utvecklades när Internet var en mycket mindre plats att standardisera enkla store-and-forward meddelanden mellan människor som använder olika typer av datorer. E-post överfördes helt öppet-allt var läsbart av alla som kunde titta på nätverkstrafik eller åtkomstkonton (ursprungligen inte ens lösenord krypterades). Otroligt, e-post som skickas med de vidöppna metoderna fungerar fortfarande (mestadels).

idag finns det fyra grundläggande platser där de flesta människors e-post kan äventyras:

  • på din enhet (er)
  • i nätverken
  • på servern(er)
  • på mottagarens enhet(er)

de första och sista platserna – enheter – är lätta att förstå. Om någon kan sitta vid din dator, ta tag i din telefon eller svepa genom din surfplatta, är oddsen att din e – post sitter där för att de ska läsa-du använder en låsskärm eller ett lösenord på dina enheter, eller hur? Samma sak gäller för mottagarnas enheter. Men även lösenord och låsskärmar är ibland inte mycket hjälp. Medan några e-postprogram krypterar e-postmeddelandena som de lagrar på enheten, gör de flesta inte det. det betyder att någon (eller något program) som kan komma åt enhetens interna lagring förmodligen också kan läsa e-post och komma till bifogade filer. Låter långsökt? Det behöver inte vara en person; rifling via e-post är en av de vanligaste sakerna malware gör.

nätverk är lite svårare att förstå och täcker tre grundläggande länkar:

  • din anslutning till din e-postleverantör (oavsett om det är din ISP, Google, Outlook, Yahoo, Apple eller någon annan)
  • alla nätverksanslutningar mellan din e-postleverantör och din mottagare
  • mottagarens nätverksanslutning till deras e-postleverantör.

om du skickar e-post till någon på samma tjänst som du använder (säg Outlook.com), har du åtminstone den första och tredje potentiella nätverkssårbarheter: din anslutning till Outlook.com och mottagarens anslutning till Outlook.com. om Mottagarens e-post finns någon annanstans (säg ett företag eller en skola) har du minst en till: sambandet mellan Outlook.com och mottagarens e-postleverantör. Verkligheten med nätverkstopografi innebär att var och en av dessa anslutningar involverar en serie Routrar och switchar (kanske ett dussin eller mer), som förmodligen ägs och drivs av olika kläder. Om en anslutning är säker finns det ingen garanti för att någon annan anslutning i sekvensen är säker. Och om du är orolig för saker som NSA: s PRISM-övervakningsprogram, indikationer hittills är att en del av det händer vid dessa interimistiska nätverkspunkter.

e-post har inte utformats med någon integritet eller säkerhet i åtanke.

servrar är maskinerna hos din e-postleverantör eller ISP som fysiskt lagrar din e-post. Om någon spricker (eller gissar eller stjäl) ditt e-postlösenord behöver de förmodligen inte dina enheter; de kan logga in på din e-postleverantör direkt och läsa alla e-postmeddelanden som lagras där. Det kan bara vara några meddelanden, men det kan vara veckor, månader eller år av e – post-inklusive åtminstone några meddelanden som du har tagit bort. Men det är inte den enda risken. De flesta e-posttjänster lagrar dina meddelanden som vanlig text. Så, alla angripare som kan komma åt dessa servrar (säg via en säkerhetsfel eller genom att stjäla ett administratörslösenord) kan enkelt komma åt alla lagrade e-postmeddelanden och bilagor. Varför skyddar inte leverantörer lagrad e-post? Delvis på grund av overhead som skulle skapa, men lagring av e-post okrypterad låter folk söka sina meddelanden (du vill söka din e-post, eller hur?) och gör det möjligt för tjänster som Gmail att automatiskt skanna e-post efter nyckelord för att sälja reklam (och du gillar reklam, eller hur?).

kryptering till undsättning!

det bästa sättet att skydda kommunikation är att kryptera dem: i grund och botten krypterar data med komplexa matematiska omvandlingar så att det bara är begripligt med rätt lösenord eller andra referenser. En vanlig form av kryptering är kryptering med offentlig nyckel, där människor (eller Internetleverantörer eller företag) ger bort en offentlig nyckel som vem som helst kan använda för att förvränga data avsedda för dem, men kan bara avkodas med en privat nyckel som personen (eller Internetleverantören eller företaget) håller hemligt.

Offentlig nyckelkryptografi är grunden för två primära sätt att skydda e-post:

  • kryptera meddelanden
  • kryptera nätverksanslutningar

kryptera meddelanden

tanken bakom krypterade meddelanden är enkel: istället för att skicka klartext vem som helst kan läsa, du skickar kodade gobbledegook bara den avsedda mottagaren kan läsa. Vanliga verktyg för att kryptera e-post inkluderar PGP (nu en kommersiell produkt från Symantec) och många vanliga appar och verktyg som stöder Open source OpenGPG och S/MIME.

kryptering av meddelanden är en enkel ide, men tillvägagångssättet har för-och nackdelar. På den positiva sidan är krypterade meddelanden skyddade över både nätverk och servrar, även om de äventyras eller lagrar meddelanden som vanlig text. (Gobbledegook kan göra Gmail tjäna upp några konstiga annonser, men!) Meddelandet är förmodligen också krypterat på din enhet och mottagarens enheter (tills de avkodar det), vilket ger ytterligare skydd. Det är allt bra.

nu nackdelarna. Att kryptera enskilda meddelanden är en smärta. Du måste ha den offentliga nyckeln för alla du vill kommunicera med säkert. För en eller två personer är det inte dåligt, men de flesta har dussintals (eller hundratals) kontakter. Att få dem alla igång med kryptering med offentlig nyckel blir inte lätt.

vidare behöver alla som vill skicka säker e-post din offentliga nyckel! Du kan skicka det till dem via e-post … men det kommer inte att krypteras så det är inte säkert. Samma med ett blogginlägg eller en Facebook-sida eller keyserver-tjänster eller någon annan osäker kanal. Det enda riktigt säkra sättet att utbyta offentliga nycklar är ansikte mot ansikte eller på något annat sätt kan du vara riktigt säker på att du får rätt nyckel från rätt person. Det kan vara väldigt opraktiskt. Vissa människor som skickar känsliga e – post-som banker, kreditkortsföretag, sjukhus, skolor eller den lokala fertilitetskliniken – kommer förmodligen inte (eller vet inte hur) att använda din offentliga nyckel även om de hade det. Slutsats, inte många av dina e-postmeddelanden kommer att krypteras, så kryptering av meddelanden är inte en allmän lösning för säker e-post.

men vänta! Det finns fler nackdelar med att kryptera meddelanden. Endast meddelandets innehåll (och eventuella bilagor) är krypterade. Rubrikinformationen (inklusive din adress, mottagarens adress, ämne, datum och mer) är fortfarande vanlig text som alla kan läsa. Den informationen kan bara vara metadata, men med tiden kan den måla en överraskande detaljerad bild av dina onlineaktiviteter. (Fråga bara NSA!) Vill du ha en annan nackdel? Försök logga in på din webbmail och söka igenom krypterad e-post efter ett telefonnummer eller en adress.

kryptera anslutningar

problem med krypterade meddelanden betyder mycket av fokus på att säkra e-post har varit på att kryptera nätverksanslutningar. Grundtanken är densamma som att använda en säker webbplats som din bank eller Amazon.com.när du ansluter till din e-postleverantör använder din Programvara Transport Layer Security (TLS, ännu bättre känd som SSL) för att kryptera anslutningen mellan din enhet och tjänsten. Det tar även hand om utbyte av nycklar: de flesta enheter idag kommer förinstallerade med nycklar för certifikatutfärdare, där de kan ladda ner autentiserade nycklar för webbplatser och tjänster utan att störa användare: ingen muss, inget krångel, ingen flyger till Australien för att utbyta offentliga nycklar med någon. Den grundläggande tekniken har fungerat för e-handel i nästan två decennier.

den informationen kan bara vara metadata, men med tiden kan den måla en överraskande detaljerad bild av dina onlineaktiviteter.

kryptering av anslutningen mellan dig och din e-postleverantör betyder att ingen i nätverket däremellan kan se e-postmeddelanden du skickar eller tar emot: det är allt gobbledegook. Det skyddar dig från kryp på den lokala Wi-Fi-nätverk och även hemliga regeringen kranar i ett datacenter någonstans på vägen.

men när meddelandet når din e-postleverantör är alla spel avstängda. För det mesta lagrar din e-postleverantör meddelandedata som vanlig text (se ovan), även om det finns undantag som Kanadas Hushmail. Och om din mottagare är på en annan e-postleverantör eller ISP, kan ditt meddelande vara (och förmodligen är!) överförs till dem via Internet som old-school oformaterad text e-post. Ett växande antal e – posttjänster använder TLS för att kryptera anslutningar mellan sig, men de allra flesta e-postservrar i världen utbyter fortfarande meddelanden utan kryptering-och det finns inget sätt för dig att veta. Dessutom finns det inget som säger om din mottagare kommer att använda en skyddad anslutning för att ta emot eller svara på din e-post. Du kanske har skyddat dig från krypningen på det offentliga Wi-Fi-nätverket, men gjorde din läkare eller revisor? Kanske inte.

är e-post dömd?

e-post kommer inte att försvinna när som helst snart. Det är alldeles för användbart, och det är nästan universell status på nästan alla enheter och tjänster säkerställer att e-post kommer att vara med oss i många år.

säker e-post? Summan av kardemumman är att e-post som vi känner det idag har aldrig varit säker, och de otaliga sätt vi skickar, ta emot, lagra, och använda e-postmeddelanden gör helt säkra e-post ett mycket svårt problem. I bästa fall.

vi kan uppfinna nya säkra meddelandetjänster som kan ersätta e-post. Det är vad Silent Circle har gjort med sin krypterade kommunikationstjänst, och det är förmodligen vad BlackBerry gjorde med BBM och vad Apple kan ha gjort med iMessage. Ändå är dessa tjänster föremål för begäran om offentliggörande från regeringar – även om Silent Circle tar det intressanta steget att kunna svara med nästan ingenting. Ännu viktigare är att ingen sannolikt har den breda allestädes närvarande och nästan allestädes närvarande räckvidden för e-post när som helst på medellång eller till och med lång sikt. Förhoppningsvis kommer svårigheten inte att hindra människor från att försöka – och Kim Dotcoms Mega kastar redan sin hatt i ringen.

men under överskådlig framtid kan Internetanvändare inte förvänta sig att e-post ska vara säkert från nyfikna ögon eller avlyssning. Period.

toppbild med tillstånd av /3dreams

redaktörernas rekommendationer

  • de bästa krypterade meddelandeprogrammen för iOS och Android
  • bästa billiga VPN-erbjudanden för februari 2021
  • hur du stoppar dina e-postmeddelanden från att spåras och bevarar din integritet
  • hur du skyddar din smartphone från hackare och inkräktare
  • så här ändrar du ditt Outlook-lösenord

Lämna ett svar

Din e-postadress kommer inte publiceras.