Get The Black Friday & Cyber Monday Deal

Save 62%

Различия в шифровании электронной почты

По мере роста важности шифрования электронной почты, все больше и больше почтовых служб утверждают, что шифрование. Но каковы различия?

Шифрование электронной почты используется как никогда широко. Но шифрование электронной почты не равнозначно шифрованию электронной почты. Существуют значительные различия в зависимости от того, КАК поставщик услуг электронной почты шифрует электронную почту. Давайте рассмотрим различия в шифровании электронной почты, чтобы вы могли принять обоснованное решение о том, какая служба электронной почты является лучшей.


Раньше шифрование электронной почты было очень сложным и, таким образом, практически не использовалось. Это изменилось с появлением таких зашифрованных почтовых сервисов, как Tutanota. Наши пользователи уже шифруют две трети своей электронной почты.

Другие провайдеры электронной почты также имеют возможность шифрования электронной почты, но различия огромны и не всегда понятны с первого взгляда. Поэтому давайте посмотрим, какие виды шифрования электронной почты существуют и как они применяются.

Прежде всего, нам нужно учесть несколько моментов при сравнении различных видов шифрования электронной почты:

Шифрование при передаче

  • Кто шифрует (клиент/сервер)
  • С помощью того, что является зашифрованными данными (открытый ключ для сквозного шифрования или TLS).

Шифрование в покое

  • Кто шифрует (клиент/сервер)
  • С помощью того, что зашифровано в данных (пароль пользователя или общий ключ).

Нам также всегда нужно смотреть, какие данные шифруются: Это может быть содержимое электронной почты или метаданные, такие как имена отправителей и строки темы.

Каждый из этих методов должен учитываться при сравнении зашифрованных почтовых сервисов. Для обеспечения максимальной безопасности ваших данных лучше всего, чтобы поставщик услуг шифровал как можно больше данных и не имел доступа к зашифрованным данным.

Различия в шифровании электронной почты

Зашифрованная передача электронной почты

Для безопасной отправки электронной почты минимальным требованием является TLS шифрование для передачи.

Это защита от пассивных подслушивающих, таких как провайдеры. Метод шифрования заключается в построении зашифрованного туннеля между почтовыми серверами так, чтобы почту нельзя было прослушивать, пока она пересылается с сервера на сервер. В 2020 году ни одна электронная почта не должна отправляться по простому тексту, т.е. без TLS шифрования, точка.

Для обеспечения максимальной безопасности следует также применять сквозное шифрование. Для этого данные должны быть зашифрованы с помощью закрытого ключа, доступного только пользователю, чтобы третьи лица не могли участвовать в разговоре.

Это происходит, если вы используете PGP и управляете личным ключом самостоятельно. Это также имеет место, если вы используете Tutanota, где ваш личный ключ зашифрован с помощью вашего пароля на клиенте, чтобы компания Tutanota могла управлять ключом для вас, в то же время удостоверившись, что только человек, знающий пароль (= вы) способен расшифровать личный ключ.

Для эффективности сквозного шифрования закрытый ключ должен принадлежать пользователю и быть недоступен провайдеру. Этого можно добиться, защитив закрытый ключ паролем пользователя, как в Тутаноте, но некоторые провайдеры делают это неправильно.

Например, Gmail позволяет своим пользователям загружать свои “закрытые ключи” на серверы с Open PGP, так как Gmail уже давно отказался от своего проекта для настоящего сквозного шифрования. Как и все шифрование на стороне сервера, это не совсем надежное шифрование.

Когда данные шифруются на клиенте, шифрование происходит перед отправкой. Таким образом, ни третьи лица, ни даже сервер провайдера электронной почты не видят вашу электронную почту. Если все клиенты, которые обрабатывают шифрование, имеют открытый исходный код - как в случае с Tutanota, - технари также могут проверить, что шифрование выполнено правильно и не может быть зашифровано на заднем плане.

Такое сквозное шифрование, при котором закрытый ключ доступен только пользователю, гораздо предпочтительнее, чем полагаться только на TLS шифрование.

Кроме того, с помощью Tutanota можно отправлять зашифрованные сообщения электронной почты за считанные секунды. Узнайте, как это сделать.

Шифрование в покое

Когда электронная почта достигнет конечной точки - сервера вашего почтового провайдера, данные могут храниться в зашифрованном виде. Это шифрование в состоянии покоя.

Большинство провайдеров шифруют все с помощью одного ключа. Это голый минимум, если провайдер хочет защитить ваши почтовые данные от злоумышленников. Шифрование в покое не защищает от самих владельцев сервисов, не защищает от юридических предписаний, но, возможно, может помочь, если сам диск будет украден.

Для “остаточного шифрования” провайдеры также могут шифровать данные с помощью пароля пользователя, но на стороне сервера. Этот метод кажется безопасным, так как у пользователя создается впечатление, что только он сам с помощью своего пароля может разблокировать закрытый ключ. Однако, каждый раз, когда пользователь входит в систему, серверу необходимо доверять, чтобы отправить расшифрованные данные пользователю - но нет никакой гарантии, что расшифрованные данные не будут отправлены куда-либо одновременно.

Riseup использует этот метод для шифрования данных в состоянии покоя. Этот метод шифрования лучше, чем ничего, и, вероятно, может помочь провайдеру не быть вынужденным выполнять некоторые юридические приказы. Тем не менее, он требует, чтобы пользователь в конечном итоге доверял провайдеру, потому что невозможно проверить, что происходит на стороне сервера. Это также не очень помогает, если сам сервер скомпрометирован.

Какие данные шифруются

Также важно посмотреть, какие данные зашифрованы. Например, решения на основе OpenPGP, такие как Protonmail, могут шифровать только части писем: тело и вложения. Такой подход является историческим артефактом и приводит к многочисленным уязвимостям безопасности, как показывает efail.

Тутанота не полагается на PGP для обеспечения безопасности ваших данных. Таким образом, компания Tutanota также может зашифровать гораздо больше данных: тело, вложения, строки темы и имена отправителей. Единственные оставшиеся данные в компании Тутанота, которые еще не зашифрованы, - это адреса электронной почты и время электронной почты.

Мы добились шифрования всех мета-данных, включая время, когда происходят события, с помощью нашего зашифрованного календаря, но с электронной почтой это сложнее в связи с тем, как работает протокол электронной почты.

Помимо шифрования, важно также, чтобы поставщик услуг электронной почты позаботился о множестве других мер безопасности, таких как двухфакторная аутентификация, удаление IP-адресов, отказ от автоматической загрузки изображений и многое другое. Узнайте здесь, какие меры безопасности необходимы.

В компании Tutanota мы упорно работаем над созданием максимально безопасного почтового сервиса.

Счастливого шифрования. 😀