Электронная почта с шифрованием

Шифрование электронной почты

Шифрование электронной почты вещь крайне необходимая, о которой редко задумываются пользователи. Начинают задумываться и предпринимать меры для защиты электронной почты только после того как подвергаются атаке. Сегодня я расскажу как зашифровать почту и предотвратить перехват важных, конфиденциальных данных.

Для шифрования почты я рекомендую использовать программы с открытым исходным кодом GNU Privacy Guard (GPG), Kleopatra и Thunderbird с расширением Enigma.

1. Провайдер сервисов e-mail с PFS

Пользуйтесь услугами провайдеров, которые для обмена ключами между отправителем и получателем уже используют новую систему совершенной прямой секретности (англ. Perfect forward secrecy, PFS).

Шифрование электронной почты

В России PFS уже предлагают такие сервисы как: Web.de, GMX и Posteo.

2. Настройка Gpg4win

Установите инсталляционный пакет Gpg4win. Как правило, пакет используется из учетной записи администратора Windows.

Шифрование электронной почты

Если вы не хотите рисковать, вы можете по-прежнему уменьшать уязвимые места, используя ограниченную учетную запись пользователя для шифрованной связи, чтобы запретить доступ к данным профиля учетной записи.

3. Создание шифрования

Откройте менеджер сертификатов Kleopatra, который установится на ваш компьютер вместе с Gpg4win, и нажмите File | New Certificate…
для запуска мастера генерации ключей. Выберите здесь Generate a personal OpenPGP key pair
и введите имя и электронную почту.

Kак зашифровать почту

По щелчку по Next
введите легко запоминающееся для вас кодовое слово, содержащее прописные и строчные буквы и числа. Последнее диалоговое окно пропустите, кликните по кнопке завершения, и ваша пара ключей готова к использованию.

4. Настройка Thunderbird и Enigmail

Скачайте и установите Thunderbird для своей электронной почты. Если вы пользуетесь услугами крупных провайдеров или Posteo, то для мастера установки достаточно будет ввести электронный адрес и пароль, которые есть у вас для входа через веб-клиент сервиса. При настройке дополнения Enigmail в Thunderbird нажмите Alt
для отображения меню и щелкните по вкладке Инструменты | Дополнения
. В строке поиска введите Enigmail
и нажмите Enter
. Первая запись должна быть последней версией Enigmail. Щелкните кнопку Установить
.

Зашифрованная почта

После установки и перезапуска Thunderbird вас поприветствует мастер Enigmail. В настройках этого мастера выберите Удобное автоматическое шифрование
, Не подписывать сообщения по умолчанию…
и Изменить параметры: Да
. В диалоговом окне Выбрать ключ
щелкните по вашему ключу, который вы создали в п. 3. Теперь ваши письма будут зашифрованы.

5. Шифрование писем и вложений

Отправлять и получать письма в незашифрованном виде и дальше вы можете при помощи Thunderbird или с вебклиента вашего провайдера. Если вы хотите отправить зашифрованное сообщение, получите от будущего получателя его открытый ключ, сохраните на жесткий диск и импортируйте в утилиту Kleopatra: для этого нужно ее открыть и выбрать «Import Certificates». Для шифрования письма сначала напишите его и прикрепите нужные вложения. Затем в окне письма Написать
щелкните по меню Enigmail
, где в двух первых записях отобразится текущий статус шифрования и подписи письма.

Зашифрованная почта

Щелкнув по значку стрелочки рядом, вы можете принудительно отправлять письма в зашифрованном или незашифрованном виде. К зашифрованным письмам необходимо добавлять подпись, дабы получатель мог проверить, действительно ли вы отправили письмо.

6. Получение зашифрованных писем

Для отправки вам криптографически защищенного письма нужно воспользоваться Enigmail (или другим Ореп-PGP-совместимым решением, например, Claws Mail) и вашим открытым ключом, который вам следует отправить незашифрованным письмом будущему отправителю. Щелкните в почте по Enigmail | Прикрепить мой открытый ключ
. При получении зашифрованного письма Enigmail потребует ввести пароль.

Шифрование электронной почты

Расшифровать вложения и сохранить их вы можете в их контекстном меню Расшифровать и сохранить как…
.

На этом все. С помощью описанный выше шагов вы сможете надежно защитить свою переписку. Если понравилась статья жмите на кнопки ваших соц. сетей и подписывайтесь на новости сайта в социальных сетях.

Как отправить зашифрованное email сообщение?

Шифрование имеет жизненно важное значение для конфиденциальности и безопасности. Наша конфиденциальность находится под постоянной угрозой со стороны социальных сетей, правительств, предприятий и т.д. Итак, шифрование вашего веб-трафика и учетных записей электронной почты является жизненно важным шагом к тому, чтобы вернуть себе часть уединения, которое было естественным всего несколько десятилетий назад.

Почтовые счета важны. Они содержат ключи от вашего цифрового королевства, а также личную информацию. Вот как вы шифруете свою учетную запись Gmail, Outlook.com и другие учетные записи веб-почты.

Какое шифрование лучше всего защищает веб-почту?

Прежде чем мы рассмотрим инструменты шифрования, важно понять, какие типы шифрования доступны вам при использовании Gmail, Outlook.com или других служб веб-почты. Вы будете использовать симметричное или асимметричное шифрование для защиты ваших данных. Но что это значит?

Асимметричное шифрование
является наиболее распространенным типом шифрования, встречающимся сегодня в Интернете. Инструмент асимметричного шифрования включает два отдельных ключа: закрытый ключ и открытый ключ. Ваш открытый ключ — только это; общественности. Вы можете отправить свой открытый ключ в открытый доступ, потому что с его помощью люди могут зашифровать сообщения специально для вас. Когда зашифрованные сообщения попадают в ваш почтовый ящик, вы дешифруете его, используя свой закрытый ключ. В отличие от открытого ключа, закрытый ключ должен всегда оставаться защищенным. Если кто-то получит его, он сможет разблокировать ваши сообщения. Это асимметричное шифрование также известно как криптография с открытым ключом.

Симметричное шифрование
— это очень безопасный, но более простой метод шифрования. По сути, вы шифруете свое сообщение с помощью одного криптографического ключа, и получатель не может разблокировать ваше сообщение без этого ключа. Симметричное шифрование также известно как криптография с секретным ключом.

Шифрование сообщений в веб-почте

Я собираюсь перечислить несколько лучших инструментов шифрования веб-почты, где вы можете их использовать и как они помогают отправлять зашифрованные письма.

1. Mailvelope

Mailvelope остается одним из лучших и самых простых инструментов шифрования веб-почты. Он использует асимметричное шифрование для защиты ваших писем. Расширение браузера Mailvelope легко интегрируется с вашими учетными записями веб-почты в Gmail, Outlook.com, Yahoo Mail, GMX, mail.ru, Zoho Mail и других.

Mailvelope работает прямо из вашего браузера. После загрузки приложения значок почтового конверта появится рядом с адресной строкой. Щелкнув по значку, вы получите несколько вариантов: Панель инструментов, Брелок и Шифрование файлов. Для начала:

1. Выберите Keyring → Generate Key
2. Введите свое имя и адрес электронной почты, который вы хотите связать с ключами шифрования. Затем добавьте безопасный, уникальный пароль, затем выберите «Создать», чтобы создать свой ключ.
3. Перейдите в свою учетную запись веб-почты и подтвердите новый ключ, открыв электронное письмо с подтверждением и подтвердив уникальный пароль из предыдущего раздела. После расшифровки сообщения вы можете выбрать ссылку для подтверждения.
4. После проверки вы получите ссылку, содержащую ваш открытый ключ. (Это длинная буквенно-цифровая строка.) Вы можете поделиться открытым ключом с другими людьми, чтобы они могли зашифровать отправленные вам сообщения.

Вы можете получить доступ к общедоступному ключу из опции Keychain. Если вы хотите отправить его кому-то, найдите ключ, затем выберите «Экспорт» и либо «Показать открытый ключ», либо «Отправить открытый ключ по почте». После того, как у получателя есть ключ, вы можете отправить ему защищенное сообщение из своей учетной записи веб-почты.

Например, значок почтового конверта появляется справа вверху в новом сообщении Gmail. Нажмите на значок сообщения и начните вводить текст!

Скачать:
Mailvelope для Chrome | FireFox

2. FlowCrypt

FlowCrypt — еще один отличный вариант шифрования для тех, кто использует Gmail. Как и Mailvelope, Flowcrypt прекрасно синхронизируется с вашей учетной записью Gmail, что позволяет отправлять электронную почту с использованием стандарта шифрования PGP.

Загрузив Flowcrypt, выберите значок Flowcrypt рядом с адресной строкой Chrome. Чтобы настроить Flowcrypt:

• Выберите Создать новый ключ
• Создайте безопасную фразу-пароль. (Парольная фраза — это уникальная строка слов, а не пароль. фразы фразы, где используются буквы, цифры и символы.) Пользуйтесь парольной фразой, если вам трудно думать чего-то, но обязательно сделайте копию!
• Перейдите в свою учетную запись Gmail. Над обычной кнопкой «Создать» находится новая опция: Безопасная запись.
• Выберите Secure Compose и введите свое сообщение.

Удобной функцией FlowCrypt является кнопка PK в правом нижнем углу окна составления письма. Кнопка PK добавляет ваш открытый ключ к электронному письму, чтобы получатели без FlowCrypt могли по-прежнему читать ваше электронное письмо.

FlowCrypt доступен для Gmail на Chrome, Firefox и Android. Кроме того, вы можете использовать приложение Android с любым приложением веб-почты на вашем устройстве Android, расширяя функциональность FlowCrypt для множества учетных записей.

Однако FlowCrypt планирует приложения для Windows, macOS, Linux, iOS, Thunderbird и Outlook. Версия для iOS должна быть выпущена в 2019 году, и команда FlowCrypt планирует расширить свои мобильные функции, прежде чем интегрировать другие службы веб-почты в будущем.

Скачать:
FlowCrypt для Chrome | Firefox | Android бета

3. InfoEncrypt

InfoEncrypt отличается от двух предыдущих записей. Он использует шифрование с секретным ключом, а не шифрование с открытым ключом. Это означает, что вместо того, чтобы делиться вашим открытым ключом, чтобы люди могли зашифровать сообщения для вас, вы должны указать пароль или фразу-пароль, прежде чем вы сможете отправлять и получать защищенные сообщения. InfoEncrypt использует чрезвычайно сильный алгоритм шифрования AES-128, который является одним из самых мощных из доступных для публичного использования.

InfoEncrypt чрезвычайно прост в использовании.

• Перейдите на сайт и введите свое сообщение.
• Введите безопасный уникальный пароль, которым вы ранее поделились с получателем.
• Выберите Encrypt и наблюдайте, как разворачивается магия.
• Затем скопируйте зашифрованный текст (это текст с шифрованием) в свой почтовый клиент и отправьте его.

Получатель должен получить сообщение, скопировать его содержимое на сайт InfoEncrypt, ввести пароль и выбрать «Расшифровать».

4. Шифрование в Outlook.com

Подписчики Office 365 могут добавить шифрование S/MIME в свою учетную запись Outlook.com. Бесплатным пользователям придется придерживаться одного из уже упомянутых замечательных вариантов. (Бесплатные опции, описанные выше, вероятно, также проще в использовании.) Вам также необходим персональный цифровой сертификат для шифрования S/MIME Outlook.com, который вы можете сделать ниже.

Получить бесплатный цифровой сертификат

• Используя Mozilla Firefox, перейдите на сайт InstantSSL Comodo. (Вы не можете использовать Microsoft Edge или Google Chrome для этой задачи.)
• Прокрутите вниз и рядом с Пробными сертификатами выберите Free
  .
• Введите данные для учетной записи электронной почты, которую вы хотите защитить (которую вы используете в Microsoft Outlook). Добавьте пароль. Примите условия Абонентского соглашения, нажмите Далее и следуйте инструкциям на экране.
• Перейдите в свою учетную запись электронной почты и откройте электронную почту коллекции Comodo. Скопируйте collection link и вставьте ее в адресную строку Mozilla Firefox и нажмите Enter. Введите свой адрес электронной почты. Теперь скопируйте пароль из электронного письма в поле Collection Password и нажмите Enter. Ваш цифровой сертификат должен немедленно начать загрузку (это займет всего секунду или две).
• Затем, продолжая работать в Mozilla Firefox, вам нужно извлечь цифровой сертификат из хранилища сертификатов браузера. Причина в том, что автоматически загруженный сертификат имеет неверный формат. В Mozilla Firefox перейдите в Меню
  → Параметры
  → Конфиденциальность и безопасность
  , затем прокрутите вниз до раздела «Безопасность» и выберите «Просмотр сертификатов» .
• Выберите вкладку «Ваши сертификаты», затем выберите «Имя сертификата» для соответствующего адреса электронной почты и нажмите «Резервное копирование». Выберите подходящее и запоминающееся имя файла, затем сохраните файл в запоминающемся месте. Теперь вы должны создать еще один пароль. Этот пароль очень важен. Он защищает файл резервной копии, который вы создаете, а также служит паролем при установке цифрового сертификата в другую программу.

Бесплатный сертификат будет длиться 90 дней. Вы должны будете обновить его после этого времени.

Пользователи Chrome: импортируйте свой цифровой сертификат

На этом этапе пользователи Google Chrome должны импортировать новый цифровой сертификат в хранилище сертификатов Windows. Chrome использует хранилище сертификатов Windows для проверки подлинности вашего цифрового сертификата, поэтому вам необходимо импортировать цифровой сертификат, чтобы использовать шифрование Outlook.com S/MIME.

Обратите внимание, что если вы используете Firefox, вы можете перейти к следующему разделу, поскольку ваш цифровой сертификат готов к использованию (Chrome и Firefox используют разные методы проверки подлинности цифрового сертификата).

1. В Windows нажмите клавишу Windows + R, затем введите certmgr.msc и нажмите Enter.
2. Выделите личную папку. Теперь щелкните правой кнопкой мыши и выберите «Все задачи» → «Импорт».
3. Перейдите к резервному расположению цифрового сертификата, найдите свой цифровой сертификат и нажмите «Открыть».
4. Введите пароль, созданный в процессе резервного копирования в предыдущем разделе. Теперь выберите Пометить этот ключ как экспортируемый и оставьте параметр Включить все расширенные свойства, затем нажмите Далее.
5. Выберите Поместить все сертификаты в следующем магазине.
6. Убедитесь, что Personal — выбор папки, затем нажмите ОК, а затем Далее.
7. Завершите импорт. Вы увидите уведомление, что процесс прошел успешно.

Установите элемент управления S/MIME

Ваша учетная запись Outlook.com использует «S/MIME Control» для управления вашими сертификатами шифрования.

1. Откройте свою учетную запись Outlook.com в браузере.
2. Создайте новое сообщение, выберите значок дополнительных параметров (три точки), затем Параметры сообщения → Зашифровать это сообщение (S/MIME) .
3. Когда появится запрос «Установить S/MIME Control», выберите «Выполнить» , проверьте запрос «Контроль учетных записей Windows» и выберите «Выполнить».

После установки и настройки параметров шифрования S/MIME можно использовать значок шестеренки → меню настроек S/MIME, чтобы выбрать, следует ли шифровать содержимое всех ваших сообщений.

5. Отправляйте и открывайте конфиденциальные электронные письма, используя Gmail

Gmail недавно представил «Конфиденциальный режим». Конфиденциальный режим — это способ отправки защищенных сообщений в Gmail с использованием пароля и таймера истечения срока действия. Обратите внимание, что в настоящее время конфиденциальный режим недоступен для платных пользователей G Suite.

Вот как вы используете это:

1. Перейдите в Gmail и выберите
2. Рядом с кнопкой «Отправить» найдите «Включить/выключить конфиденциальный режим».
3. Изменить настройки конфиденциального режима; установите дату окончания срока действия и выберите, если пользователю требуется пароль для чтения вашей электронной почты, затем выберите Сохранить.
4. Отправьте письмо как обычно.

Получатели не могут пересылать, копировать или распечатывать электронные письма в конфиденциальном режиме. Кроме того, убедитесь, что вы вводите номер мобильного телефона получателя, если вы используете опцию пароля. В противном случае они не смогут открыть вашу электронную почту!

Какое лучшее шифрование веб-почты?

Для меня Mailvelope и FlowCrypt — два лучших варианта быстрого и безопасного шифрования веб-почты. Android-приложение FlowCrypt, безусловно, расширяет функциональность этого инструмента, в то время как вы можете зашифровать широкий спектр провайдеров веб-почты с помощью Mailvelope.

Если вы в затруднительном положении, InfoEncrypt удобен, но вам нужно заранее разработать надежный пароль, что является недостатком.

К сожалению, не так много респектабельных, безопасных инструментов шифрования веб-почты. Это несмотря на то, что основное внимание уделяется безопасности, конфиденциальности и нарушениям данных.

Еще один отличный вариант — полностью сменить провайдера. Вместо использования клиента веб-почты, который может хорошо отслеживать и контролировать содержимое вашей электронной почты, переключитесь на надежного зашифрованного почтового провайдера.

В 2013 году Эдвард Сноуден подтвердил то, что и так многие подозревали: правительства государств следят за вами. Спецслужбы мониторят ваш трафик и создают цифровые профили ваших сетевых привычек. К сожалению, они не единственные, кому интересны ваши данные. Хакеры и киберпреступники также не прочь перехватить вашу персональную информацию. Кроме того, бесплатные почтовые сервисы могут также отслеживать ваши электронные письма и контакты, чтобы показывать вам таргетированную рекламу.

Согласно индексу утечек данных (Breach Level Index) более 13 миллионов учетных записей утекли в сеть или были скомпрометированы в различных инцидентах с 2013 года. Из этих 13 миллионов подавляющее большинство, а именно 96% не были зашифрованы. Какой же метод используют хакеры для взлома аккаунтов, кражи личных данных или раскрытия конфиденциальной информации?

Электронная почта

Электронная почта – очень «древняя» технология по сравнению с современными решениями для коммуникации, которая имеет много технических ограничений. Преклонный возраст технологии негативно сказывается на безопасности. К счастью для 4 миллиардов пользователей электронной почты, многие разработчики и исследователи безопасности прикладывают свои усилия по улучшению немолодой технологии, чтобы она сохраняла жизнеспособность и была относительно безопасной в эпоху быстрых и интеллектуальных атак.

Давайте рассмотрим несколько защищенных служб работы с электронной почтой и выделим их ключевые преимущества в отношении безопасности.

ProtonMail (веб-служба, Android, iOS)

• Цена: Бесплатно (до 150 сообщений в день). Есть платные аккаунты
• Хранилище: 500 МБ бесплатно. До 20 ГБ в платных аккаунтах.
• Расположение серверов: Швейцария

Старт проекта ProtonMail состоялся в 2013 году. Первоначально сервис был разработан исследователями CERN по программе краудфандинга. Стадия бета-тестирования ProtonMail завершилась в марте 2016 года. Данный сервис имеет открытый исходный код и использует сквозное шифрование, поэтому сообщения зашифровываются на стороне пользователя, и данные не могут быть расшифрованы вашим работодателем или кем-либо еще.

Так как сервис преимущественно предлагает бесплатные аккаунты, то разумно встает вопрос, откуда берутся средства на поддержание почтовой службы. ProtonMail ясно дает понять, что у проекта есть собственный финансовый фонд, который способен поддерживать работу сервиса на протяжении года без каких-либо других вливаний.

Преимущества ProtonMail

Все данные пользователей хранятся на серверах в Швейцарии. Данная европейская страна хорошо известна своей жесткой позицией в отношении конфиденциальности и защиты данных. Очень важный плюс для безопасности – открытый исходный код ProtonMail. Закрытое и проприетарное программное обеспечение не может быть проанализировано любым желающим, поэтому вы должны слепо доверять компании-разработчику. Сервисы с открытым исходным кодом могут быть проверены на безопасность любым исследователем или компетентным лицом.

Хотя электронные письма другим пользователям ProtonMail защищены сквозным шифрованием, при взаимодействии с незашифрованными службами, такими как Gmail, ProtonMail сканирует данные сообщения и защищает от спама. Однако, эти сообщения сканируются в памяти, значит не сохраняются и будут перезаписаны за очень короткое время. Сразу после проверки электронное сообщение будет зашифровано.

Согласно политике конфиденциальности ProtonMail, регистрация IP-адресов отключена по умолчанию, хотя вы можете принудительно включить ее при желании. Данное поведение позволяет значительно улучшить приватность, потому что в данном случае предотвращается утечка вашего местоположения по IP-адресу. ProtonMail не сохраняет ваши данные при удалении. Если вы удалите сообщение – оно действительно исчезнет. Единственное исключение – когда данные были сохранены в резервной копии, в этом случае для полного удаления может потребоваться до 14 дней.

Для регистрации в ProtonMail вам не нужно указывать никакой личной информации, хотя вы можете задать дополнительный адрес электронной почты для восстановления доступа. ProtonMail поддерживает Ephemeral messaging — обмен сообщениями, которые, будучи прочитанными, навсегда исчезают. Данная концепция также используется в мессенджере Telegram.

TutaNota (веб-служба, Android, iOS)

• Цена: Бесплатно. Есть платные аккаунты
• Хранилище: 1 ГБ бесплатно. Расширяемое хранилище в платных аккаунтах.
• Расположение серверов: Германия

Почтовый сервис Tutanota от немецкой компании Tutao GmbH был запущен в 2011 году по модели freemium – т.е. базовый функционал доступен бесплатно. Название неслучайно – в переводе с латинского “tuta nota” означает “безопасное сообщение”. Серверы службы также расположены в Германии, что делает их предметом юрисдикции строгого Федерального закона Германии о защите данных. Тем не менее, репутация была подмочена сообщениями о том, что Федеральная разведывательная служба Германии сотрудничала с АНБ в своих программах наблюдения.

Преимущества TutaNota

В любом случае, Tutanota делает очень привлекательный и безопасный сервис. По большому счету, набор функций TutaNota в значительной степени повторяет функции ProtonMail. Сервис использует сквозное шифрование, чтобы гарантировать невозможность просмотра почты на серверах. Если вы отправляете сообщение пользователю Gmail, то Tutanota отправляет ссылку на временную учетную запись, где получатель может просмотреть зашифрованное сообщение.

Tutanota также является проектом с открытым исходным кодом – весь код выложен на Github. На данный момент сервис не зашифровывает метаданные, связанные с сохраненными сообщениями, например контакты отправителя, получателя и дату. Разработчики планируют добавить такую функцию в будущем.

Tutanota использует 2048-битное шифрование RSA и 128-битное шифрование AES. Однако в настоящее время сервис не поддерживают PGP, хотя в планах разработка API для взаимодействия с PGP-шифрованием. Tutanota ведет журналы исключительно с технической информацией, предупреждениями и сообщениями об ошибках. Разработчики заявляют, что ни один из журналов не содержит личной информации и хранится только в течение 14 дней.

Tutanota можно использовать бесплатно, но чтобы получить расширенные функции, нужно приобрести Premium аккаунт. За один евро в месяц вы сможете добавлять до 5 псевдонимов, использовать собственный домен и настраивать правила для входящих сообщений.

Mailfence (веб-служба)

• Цена: Бесплатно. Есть платные аккаунты
• Хранилище: 250 МБ для почты и 250 МБ для документов бесплатно.
• Расположение серверов: Бельгия.

Важна информация

Если при регистрации вы видите сообщение We temporarily do not take new registrations, то для регистрации воспользуйтесь VPN, например, плагином Browsec VPN. В некоторых странах, включая Россию, регистрация ограничена.

Сервис Mailfence разрабатывался создателями виртуального офиса ContactOffice. Mailfence включает шифрование и функции защиты конфиденциальности и предлагается для бесплатного использования. После разоблачений Сноудена в 2013 году, команда ContactOffice почувствовала необходимость в безопасной и конфиденциальной почтовой платформе. Как и в многих европейских странах, в Бельгии соблюдается строгое законодательство по защите данных, которое возводят в приоритет пользователя над интересами компаний.

Преимущества Mailfence

ContactOffice был запущен в 1999 году, поэтому у разработчиков MailFence есть достаточно опыта и знаний в развитии сервиса. Наработанный годами опыт приводит к одному из ключевых преимущества Mailfence. Сервис предлагает безопасную работу не только с почтой, но и с календарем, контактами и хранилищем документов. Хотя компания продает Premium аккаунт большинство средств поступает от лицензирования программного обеспечения для компаний и образовательных учреждений. К сожалению, исходный код Mailfence закрыт для инспекции, поэтому используя сервис, вам приходится доверять лозунгам компании-разработчика, обозначенным на официальном сайте.

15% прибыли от продаж Pro аккаунтов ContactOffice жертвует в Фонд Электронных Рубежей (Electronic Frontier Foundation, EFF) и в общественную организацию “Европейские цифровые права” (European Digital Rights Foundation, EDRi). Законы о неприкосновенности частной жизни в Бельгии диктуют предоставить доступ к данным при выносе соответствующего судебного решения. Однако любой внешний орган не имеет права получать доступ к данным.

Mailfence использует сквозное зашифрование и поддерживает OpenPGP. Вы можете создать ключ на своем компьютере, который затем будет зашифрован с использованием 256-битного алгоритма AES и сохранен на серверах Mailfence. Также поддерживается двухфакторная аутентификация для предотвращения несанкционированного доступа к вашей учетной записи.

Одно из существенных недостатков Mailfence – отсутствие мобильного приложения. Если вы хотите синхронизацию с мобильным устройством, единственным вариантом является использование Exchange ActiveSync от Microsoft. Если вы решите перейти на учетную запись Pro, то вы также сможете использовать POPS, IMAPS и SMTPS.

Posteo (веб-служба)

• Цена: Только платные аккаунты
• Хранилище: 1 евро в месяц за хранилище объектом 2 ГБ.
• Расположение серверов: Германия

Всего за 1 доллар в месяц Posteo предлагает 2 гигабайта безопасного хранилища электронной почты. Хранилище является абсолютно анонимным и защищено двухфакторной аутентификацией. Серверы Posteo расположены в Германии, а основные ценности сервиса — это конфиденциальность, удобство использования и стабильность.

Как и многие специальные инструменты для обеспечения конфиденциальности, Posteo стал популярным среди общественности после разоблачений Эдварда Сноудена. Posteo стал первой службой электронной почты, которая запустила DNS-аутентификацию объектов адресации (DANE) на своих серверах, чтобы обезопасить пользователей от хакеров, выдававших себя за них или их получателей электронной почты. Другими словами, DANE позволяет защититься от MITM-атак или атак «человек посередине», подробно описанных в раскрытых документах АНБ.

Posteo не просто отказывается собирать личные данные своих клиентов, но и регулярно ведет юридическую борьбу за право не передавать пользовательские данные властям.

Их отчет о прозрачности за 2017 год показывает, что Posteo получил 48 запросов на получение пользовательских данных и «изъятие» почтового ящика от немецких и международных властей, и три запроса были успешными. Однако, Posteo не хранит идентификационные данные или IP-адрес пользователя, поэтому любой изъятый контент электронной почты не может быть официально связан с пользователем.

Posteo зашифровывает все данные, отправляемые через сервера сервиса, когда они находятся в пути или в состоянии покоя, но не предлагает автоматического сквозного шифрования как в ProtonMail и Tutanota.

Это означает, что любая перехваченная коммуникация может быть прочитана злоумышленником в виде обычного текста (хотя Posteo в значительной степени сводит на нет этот риск с помощью функции DANE).

Так как Posteo не использует сквозное шифрование, учетную запись сервиса можно добавить в стандартные приложения для работы с электронной почтой в iOS и Android.

Kolab Now (веб-служба)

• Цена: Только платные аккаунты
• Хранилище: для индивидуальных аккаунтов 4,41 доллара в месяц за 2 ГБ . Расширяемое пространство до 10 ГБ
• Расположение серверов: Швейцария

Kolab Now – безопасная альтернатива для G Suite и Office 365.

Служба предлагает сервис электронной почты, календарь, контакты и хранилище файлов. Kolab Now позиционирует себя как безопасную альтернативу G Suite и Office 365.

Kolab Now был разработан для Федерального управления Интернет-безопасности Германии и в основном использовался в Германии до тех пор, пока он не привлек к себе внимание СМИ после утечек АНБ. Основатель правозащитного ресурса Groklaw Памела Джонс рассказала, что перешла на электронный адрес Kolab Now в тот же день, когда закрыла сайт в 2013 году:

Если вам нужно пользоваться Интернетом, то мое исследование показывает, что для защиты от слежки при работе с электронной почтой можно использовать Kolab. Серверы Kolab расположены в Швейцарии, а значит они не подпадают под действие законов других стран. Сервис пытается предоставить гражданам больше конфиденциальности.

Сервис Kolab Now имеет полностью открытый исходный код и предлагает расширенные функции безопасности. Хотя он не предлагает сквозное шифрование (вне клиентского компьютера), Kolab Now поддерживает протоколы совершенной прямой секретности (PFS), т.е. что ключи шифрования эфемерны – если зашифрованный контент попадет в чужие руки, его невозможно будет использовать с ключом, отличным от ключа, который использовался в конкретном сеансе.

Для доступа к почте с мобильных устройств вы можете использовать веб-интерфейс через браузер вашего устройства или подключить Kolab Now к вашему клиенту POP3/IMAP, например, к iOS Mail. Kolab Now также поддерживает протоколы SMTP, CalDav и WebDAV, поэтому, если системы вашей организации уже интегрированы с одним из этих протоколов, это будет несомненным плюсом.

mailbox.org (веб-служба)

• Цена: Пробная версия 30 дней бесплатно. Только платные аккаунты
• Хранилище: от 1 евро за 2 ГБ хранилища электронной почты и 100 МБ облачного хранилища
• Расположение серверов: Германия

Проверенный временем безопасный сервис электронной почты mailbox.org находится под контролем журналиста в сфере конфиденциальности Пеера Хайналайна (Peer Heinlein). Пеер начал свою карьеру в области безопасных сетевых служб в далеком 1989 году. В данном случае вам нужно беспокоиться о том, что вы передаете свой почтовый ящик в руки шаткого стартапа – mailbox.org выдержал испытание временем.

Серверы mailbox.org расположены в Германии и подчиняются благоприятным законам о конфиденциальности, но это не единственное преимущество сервиса. mailbox.org посвящен анонимности: пользователь может зарегистрировать учетную запись без ввода личной информации, используя Биткойн, используя собственную цепочку узлов Tor. Заголовки почты также анонимны, чтобы скрыть местоположение устройств пользователей и их получателей.

Также как Mailfence и ProtonMail, mailbox.org совместим с OpenPGP, что позволяет пользователям отправлять зашифрованную почту даже адресатам, не использующим mailbox.org. Электронные письма в этом случае появятся в специальной гостевой папки входящих, и получатель сообщения сможет ответить на него по одноразовой ссылке. Данный подход использует Tutanota для решения проблемы коммуникации за пределами вашей зашифрованной сети (с пользователями Gmail или других служб, работающих с открытым текстом).

Criptext (Windows, MacOS, Linux, Android и iOS)

• Цена: Бесплатно, до 10 устройств
• Хранилище: Неограниченное хранилище. Размер вложения до 25 МБ в 1 письме, количество вложений неограниченно
• Расположение серверов: Amazon Web Services (AWS)

Сервис Criptext предлагается в виде приложений с открытым исходным кодом для всех современных платформ – настольных компьютеров (Windows, MacOS, Linux) и мобильных устройств (Android и iOS). При этом серверы Criptext не имеют открытого исходного кода (как, например и в ProtonMail).

Criptext использует для хранения зашифрованных вложений серверы Amazon Web Services (AWS), сообщения электронной почты и ключи шифрования хранятся локально на устройствах пользователя. Для сквозного шифрование сообщений используется протокол Signal.

Согласно официальной документации, Criptext отправляет сообщения электронной почты через свои серверы и удаляет их после доставки. Единственным исключением из этого правила является ситуация, когда сообщение недоступно для доставки, например, когда устройство получателя находится в автономном режиме. В этом случае электронная почта хранится на сервере до ее доставки. Если она не будет доставлена в течение 30 дней, она также будет удалена с сервера.

Важно отметить, что служба шифрует только письма, отправленные внутри Criptext – одним пользователем Criptext другому. Таким образом, если вы используете сервис для отправки сообщений на другие сервисы (Gmail, Яндекс, Mail.Ru, Outlook и т.д.), сообщения не будут зашифрованы. Можно определить, зашифровано сообщение электронной почты или нет, по наличию значка "навесного замка" – если он есть, то письмо зашифровано.

Храните тайны надежно

Многие бесплатные почтовые сервисы либо слабо защищают вашу конфиденциальность, либо даже предпринимают шаги, чтобы подорвать ее. Поиск защищенного и зашифрованного сервиса – это важный шаг. При принятии окончательного решения вы должны учитывать применяемый метод шифрования, источник финансирования сервиса и местоположение серверов.

Содержание статьи

Справочник анонима

Статьи из этого цикла публикуются бесплатно и доступны всем. Мы убеждены, что каждый имеет право на базовые знания о защите своих данных.

Другие статьи цикла:

Если для тебя эти материалы тривиальны — отлично! Но ты сделаешь доброе дело, отправив ссылку на них своим друзьям, знакомым и родственникам, менее подкованным в технических вопросах.

Защита электронной почты

Существует куча сайтов и сервисов, клятвенно обещающих оберегать приватность своих пользователей от любых поползновений. Правда, зачастую — только на словах. Например, сервис защищенной почты ProtonMail уже неоднократно обвиняли в том, что он помогает правоохранителям и сливает информацию о своих пользователях в чужие руки (первый раз — в 2018 году, второй — совсем недавно). Руководство почтовика всякий раз находило себе оправдания, но дыма без огня, как говорится, не бывает. Значит, о приватности и анонимности нужно побеспокоиться самому, не полагаясь на чужих дяденек и тетенек. Что для этого нужно? А вот прямо сейчас и разберемся.

Как всегда, в этой заметке будет необходимая часть теории, а после я расскажу о некоторых приложениях и объясню, для чего они нужны и как ими пользоваться. Если, конечно, ты не помрешь от тоски, изучая первую часть опуса. Погнали?

(Не)скучная теория

Даже маленький ребенок, только выйдя из пеленок, уже прекрасно осведомлен о том, что винда с точки зрения надежности хранения персональных данных напоминает решето. Поэтому, если у тебя нет возможности навсегда избавиться от этого поделия программистов из Редмонда (иначе на чем мы будем запускать любимые игрушки?), систему нужно правильно настроить, навсегда отбив ей охоту передавать что попало куда не надо. Грамотная настройка Windows — тема отдельного разговора, и к ней мы когда-нибудь обязательно вернемся, а сейчас речь о другом.

После того как мы установим безопасную ОС, которая не рассказывает своим создателям о каждом нашем шаге, нужно задуматься о связи с внешним миром. Самый древний и распространенный способ такой связи после голубиной почты — почта электронная. Обойтись без нее непросто: было бы, конечно, неплохо, если бы всевозможные роботы отсылали нам подтверждения о регистрации куда-нибудь в запрещенный телеграмчик, но они почему-то предпочитают делать это «мылом», будто в каменном веке.

Нужно понимать, что если сервер электронной почты не принадлежит тебе лично, не стоит на твоих антресолях рядом с бабушкиными калошами и коробкой дедушкиных таблеток от метеоризма и на нем ко всему прочему не крутится ПО с открытыми исходниками, то нет никакой гарантии, что твою переписку не читает товарищ майор или не фильтрует по ключевым словам специально обученный робот. При том что заявления компании — владельца сервака о ее честности, белизне и пушистости ты при всем желании никак не сможешь проверить.

Даже если почтовый сервис шифрует твои данные на лету прямо в браузере, алгоритм шифрования все равно загружается с сервера. Как ты проверишь корректность этого самого алгоритма всякий раз, когда отправляешь письмо? Вывод: кому бы почтовый сервис ни принадлежал, безусловно доверять ему свои письма мы не можем. Из этого следует, что обязанность шифровать письма лежит на нас самих.

Требование к любому приложению, которое оперирует твоими данными или отвечает за их защиту, всегда одно: исходный код этого приложения должен быть открыт. Это тот необходимый минимум, который может обеспечить защиту от закладок и недокументированных возможностей. Все приложения и плагины, представленные в статье, обладают открытым исходным кодом.

Можно отправлять-получать почту через веб-интерфейс, но в этом случае ты лишаешься удовольствия использовать проверенные сторонние плагины с открытым исходным кодом, предназначенные для обеспечения приватности. Поэтому наш выбор — почтовый клиент.

Я рекомендую установить, например, Thunderbird. Во-первых, это название ни один товарищ майор не выговорит без ошибок с первого раза, а во-вторых, софтина поддерживается сообществом и позволяет устанавливать расширения. Для шифрования переписки можно воспользоваться плагином Enigmail, который активно разрабатывается по сей день и регулярно обновляется.

Кроме того, нам понадобятся специальные приложения, которые реализуют шифрование, — это GnuPG для *nix или Pgp4Win для Windows. После этого будет необходимо создать пару закрытый — открытый ключ и не забывать подписывать свои письма электронной подписью, чтобы получатель точно знал, что письмо пришло именно от тебя. Звучит сложно? На самом деле все гораздо проще, чем кажется.

Даже с учетом шифрования почтовый сервер все равно будет знать, откуда ты к нему подключился, сможет определить время подключения, действия с письмами (удаление, создание, пересылка) и адрес, на который было отправлено письмо. Но прочитать информацию из письма сможет только получатель. И не забывай: заголовок с темой письма по умолчанию не зашифрован, так что выбирай тему осмотрительно, чтобы ненароком не спалиться.

Установка и настройка необходимого инструментария

С установкой почтового клиента Thunderbird у тебя точно не должно возникнуть проблем — по слухам, однажды с этой архисложной задачей справилась даже шимпанзе из рязанского зоопарка. Далее поставим Pgp4Win, только убедись, что на экране «Компоненты устанавливаемой программы» есть все нужные галочки!

Сначала устанавливаем Pgp4Win
Не забудь выбрать все компоненты во время установки

После этого запускаем Thunderbird и настраиваем в клиенте доступ к своему почтовому ящику (документации по настройке Thunderbird в интернете навалом). Следующим этапом устанавливаем плагин Enigmail.

Устанавливаем Enigmail

Закончив эти танцевальные номера с бубном, создаем ключевую пару (открытый и закрытый ключ) и сертификат отзыва ключа. Этот сертификат потребуется, если ты однажды потеряешь по пьяни по какой-то причине секретный ключ и тебе потребуется отозвать загруженный на сервер открытый ключ.

Итак, чтобы создать ключевую пару, перейдем в меню «Enigmail → Менеджер ключей». После этого нужно выбрать пункт «Новая пара ключей» в меню «Создать». В открывшемся окне отобразятся настройки создаваемой ключевой пары, поле для ввода парольной фразы и выбор алгоритмов шифрования во вкладке «Дополнительно». Программа предлагает выбрать один из двух криптографических алгоритмов — ECC и RSA.

Настройка создаваемой ключевой пары

Выбор между ECC и RSA

Давай разберемся, чем эти алгоритмы отличаются друг от друга и какой из них лучше выбрать.

RSA (аббревиатура от фамилий создателей — Rivest, Shamir и Adleman) — асимметричный криптографический алгоритм, основанный на сложности задачи факторизации (разложения) больших целых чисел. Это была заумная цитата из Википедии. А если попроще, то достаточно сказать, что этот алгоритм старый, как Pentium 4, но такой же надежный и проверенный временем. Он используется повсеместно в самых разных приложениях и защищенных протоколах.

Существует его более новый и, как считается, прогрессивный аналог — алгоритм ECC (Elliptic Curve Cryptography). Та же Википедия говорит нам, что этот асимметричный алгоритм «опирается на эллиптические кривые над конечными полями». Что это означает, при желании прочтешь там же. А нам важно вот что: для обеспечения одинаковой степени криптостойкости алгоритму RSA требуются ключи длиной 4096 бит, а алгоритму ECC — всего от 256 до 384 бит. А если взять ECC с длиной ключа 521 бит, то по криптостойкости он будет эквивалентен RSA с длиной ключа 15 360 бит!

Из этого следует, что шифрование с применением ECC будет быстрее и менее энергозатратно, что не может не радовать, если ты используешь мобильные устройства. С другой стороны, с RSA мы пользуемся проверенным временем (и массой математиков) криптографическим алгоритмом, который имеет к тому же некоторый «запас прочности» перед наступлением эпохи квантовых компьютеров.

Пароль — это важно!

Несмотря на стойкость криптоалгоритмов, необходимо уделить внимание выбору качественного пароля для шифрования. Если пароль будет недостаточно стойким, то расшифровать твою переписку не составит большого труда, какие бы крутые криптоалгоритмы ты ни использовал.

Не забывай: пароль не должен быть коротким — нужно использовать не менее 12–15 символов. Пароль не должен быть любым словарным словом, должен иметь цифры и буквы обоих регистров, вступление, заключение, развитие драматического сюжета и список использованной литературы в конце.

В основном работает правило: чем легче запомнить пароль тебе самому, тем проще его будет подобрать злоумышленнику. Поэтому можно просто пару раз хорошенько стукнуться лбом о клавиатуру, а потом выучить получившуюся псевдослучайную последовательность символов. Главное — никогда не придумывать и не менять пароли после шумной вечеринки. Однажды нарушив это правило, ты поймешь почему.

После успешного создания ключевой пары программа предложит тебе создать сертификат отзыва. Я рекомендую сделать это на всякий случай.

Создаем сертификат отзыва

Теперь все готово. Если кто-то захочет зашифровать переписку с тобой, ему понадобится открытый ключ. Передать его собеседнику можно любым способом — ведь если открытый ключ перехватят, то все равно не будет никакой возможности расшифровать переписку. Но все-таки я рекомендую загрузить открытый ключ на специальный сервер — сервер ключей. Оттуда любой человек может забрать твой открытый ключ, например выполнив поиск по почтовому адресу. Чтобы загрузить ключ на сервер, в оснастке «Управление ключами» в меню программы нужно выбрать пункт «Разместить открытые ключи на сервере ключей».

Размещаем открытый ключ на сервере ключей

После этого ключ автоматически загрузится на сервер.

Загрузка ключа на сервер

Теперь давай посмотрим на практике, что представляет собой шифрование почты асимметричной криптографией. Мы создадим и отправим сами себе зашифрованное сообщение и посмотрим, как оно выглядит с плагином Enigmail и без него — как если бы мы перехватили чье-то сообщение. У нас уже все настроено, нам просто нужно создать письмо обычным способом, не забыв нажать на кнопки «Зашифровать» и «Подписать».

Создаем первое зашифрованное письмо

Полученное сообщение будет выглядеть как на картинке ниже.

Получили письмо!

Здесь видно, что сообщение расшифровано и его подпись проверена, о чем нам и сообщает Enigmail.

А что, если мы не знаем секретного ключа и просто перехватили это сообщение, например на почтовом сервере? Как оно будет выглядеть в этом случае, ты можешь посмотреть на следующей картинке.

Так выглядит шифротекст нашего письма

Как видишь, у того, кто перехватит нашу почту, будут большие проблемы с ее чтением.

Плагин Mailvelope

Что, если по какой-то причине ты не захочешь ставить почтовый клиент, но все же решишь защитить свою переписку? Есть выход: расширение для браузера под названием Mailvelope. Оно имеет открытый исходный код, поддерживается всеми современными браузерами и не требует для работы никаких сторонних приложений. Но если ты установишь на компьютер Pgp4Win, то у тебя появится возможность выбора, какой движок использовать — GnuPG или OpenPGP.js. В последнем реализовано шифрование PGP на языке JavaScript.

Чтобы начать пользоваться шифрованием почты при помощи Mailvelope, нужно будет еще сгенерировать ключевую пару и отправить открытый ключ на сервер ключей — в настройках Mailvelope это можно сделать установкой нужной галочки.

Управление ключами в Mailvelope

Сгенерированная ключевая пара появится во вкладке «Управление ключами».

Созданная ключевая пара

Кроме того, есть возможность импорта и экспорта готовых ключевых пар. Еще расширение умеет шифровать передаваемые вложения и отдельные файлы, в нем есть возможность добавлять электронную подпись. Теперь, если ты зайдешь в свой почтовый ящик через веб-интерфейс и попытаешься написать кому-то письмо, в форме ввода письма появится новая кнопка, запускающая Mailvelope.

Создаем сообщение через веб-интерфейс

Если кликнуть по этой кнопке, откроется окно ввода сообщения. Когда письмо будет написано, необходимо нажать на кнопку «Зашифровать».

Интерфейс Mailvelope

Зашифрованное сообщение будет автоматически скопировано в веб-интерфейс почтового сервера.

Вставили шифротекст в интерфейс почтового сервера

Если расширение активно, сообщение дешифруется и электронная подпись проверяется автоматически, нужно будет только ввести свой пароль.

Приняли зашифрованное сообщение

Шифрование почты на Android

Если у тебя смартфон с Android, обрати внимание на приложение OpenKeychain, которое поможет в шифровании сообщений в твоем телефоне. В качестве почтового клиента для Android можно использовать K-9 Mail — это известный почтовый клиент с открытым исходным кодом, а принцип генерации ключевых пар там точно такой же, как и на десктопе.

Заключение

Теперь ты знаешь, как обеспечить передачу конфиденциальной информации через недоверенную сеть — интернет, где каждый, начиная провайдером и заканчивая администратором почтового сервера, может перехватить и прочитать твои электронные сообщения и выведать все тайны.

При помощи асимметричной криптографии можно безопасно передавать, например, ключи для расшифровки криптоконтейнеров, которые ты оставил на каком-нибудь файлообменнике, да и любые другие непубличные данные.