预览图mashup信用: 电子邮件自我防御-自由软件基金会 。
这是我 有关电子邮件隐私和安全性的系列教程的续篇 。 较早的几集详细介绍了多种加密和保护电子邮件的方法。 本集将探讨技术人员如何为数字时代重建电子邮件。
最近,当我通过电子邮件向朋友发送有关我的脑肿瘤诊断的电子邮件时,电子邮件隐私的重要性开始受到关注。 如果不与Gmail,Hotmail,Yahoo,Comcast和Apple(.me)的邮件服务器共享非常个性化的注释,就很难说出这个词。 那时的任何隐私表面纯属虚幻。 在接下来的几周中,我与医疗保健提供者交换的大多数电子邮件也是非常不安全的。
我声明,与其讨论如何改进电子邮件以增强安全性,不如说它是从根本上破坏了我们在现代数字通信时代需要大修的方式。
在本教程中,我将描述电子邮件是如何损坏的,并讨论Apple Pay (该公司的新移动支付系统)的原理,该原理可用于构建提供端到端安全性的现代消息传递基础结构。 并非Apple Pay的全部灵感都来自技术。 其最大的优势在于将重点从公司利润和数据收集转移到通过更快,更安全,更私人的交易使消费者受益。
请记住,我确实参加了下面的讨论。 如果您有任何问题或建议,请在下面发表评论。 您也可以在Twitter @reifman上 给 我发消息或直接发送电子邮件 。
电子邮件隐私和安全性方面的缺陷
电子邮件的隐私和安全性从根本上被破坏了。 我们发送的绝大多数电子邮件未经加密即作为纯文本在Internet上流动。
记者奎因·诺顿(Quinn Norton)在《不仅仅发送一封电子邮件》中写道:
[电子邮件]根本没有设计任何网络安全性。 部分原因是因为我们用于电子邮件的内容只是临时措施,是在开发实际协议时的权宜之计。 那是1982年。它在2008年进行了较小的更新,但是电子邮件仍然非常不安全。
像Google这样的大多数免费网络邮件服务提供商都将其用户视为产品而非用户。 Gmail是免费的,因此它可以在广告业务方面尽可能多地了解我们。
如果您使用Google之类的通用邮件主机,则可以访问其所有电子邮件,其内部分析引擎以及任何具有非法或法院批准的访问权限的政府。 通过类似的监视或访问,可以相对容易地恢复您发送给其他邮件主机上的人员的出站电子邮件。
您的IP地址会在您访问和发送消息时记录下来,提供您的物理位置的部分记录(如果您的手机服务提供商尚未记录的话)。
实际上,仅通过手机访问和发送电子邮件就会打开其他攻击媒介:您的手机公司,iCloud之类的备份提供商,或者在边境停留期间在海关中进行强制监视。 例如,今年早些时候,T-Mobile代表打电话给我,以回应不真实的运营商:十大谎言T-Mobile告诉我有关我的数据计划的消息,并让我大吃一惊,因为他随随便便从我从中访问数据的通用域摇摇欲坠我的手机。
鉴于这些弱点,您在电子邮件中写的任何内容都可能永远被发现。 而且无法知道是否,何时,如何以及通过谁来访问您的电子邮件。
此外,冒名顶替者可以更改和伪造消息(例如,中间有一个男人)。 电子邮件可用于使您遭受网络钓鱼攻击并传递特洛伊木马。 正如诺顿所说:“电子邮件是危险的事情。”
加密呢?
图像信用 电子邮件自我防御-自由软件基金会
公钥加密仍然很难设置和使用。 即使您能够,大多数定期发送电子邮件的人也可能不会。 如果您一直在阅读我的教程,那么现在您可能已经意识到这一点。 很难让我们的朋友开始使用它,也很难例行使用。
即使使用得当,加密也无法保护与您通信的人的身份,除非他们使用匿名电子邮件地址并使用TOR之类的服务登录。 邮件信封保持打开状态。
Apple Pay做得好
尽管Apple Pay不是邮件系统,但它为更安全的电子邮件系统提供了概念上的启发。 这是我们可以从中学习的一些很好的事情。 您可以在Apple Pay安全和隐私概述中阅读更多内容。
- 您的购买在您的信用卡公司和每个单独的商家之间是私有的。
- 您的卡号和安全码未与任何人共享。
- Apple不会收集任何可以绑定到您的交易信息。
- Apple和您的设备都不会发送您的信用卡号或借记卡号。 在他们批准付款之前,您的银行或付款网络可以通过检查动态安全代码来确认您的付款信息,以确保该信息唯一且与您的设备绑定在一起。
- 交易的所有方面均由Apple加密和管理。
- Secure Element是经过行业标准认证的芯片,旨在安全地存储您的付款信息。 安全元素中的设备帐号对于您的设备和添加的每张卡都是唯一的。 它与iOS和Watch OS隔离,从未存储在Apple Pay服务器上,也从未备份到iCloud。
- 您可以随时停止使用Apple Pay来暂停使用它。
苹果公司采取了与苹果支付公司合作的步骤,以改善我们的生活,使购物更快,更轻松和更私密,而又没有试图最大限度地提高利润。 他们挑战不道德的信用卡提供商的现状,并在考虑消费者的情况下这样做。 它代表着构成我们日常生活结构的各种服务的发展方向的转变。
Apple Pay采用平衡,长期的方式来重新设计和部署付款,暗示了单个提供商可以如何为其客户的最大利益提供安全的服务。
更加安全的电子邮件架构
如果我们将Apple Pay的某些原理应用于面向隐私的电子邮件系统,它将提供类似的功能:
- 收件箱中的云存储将被加密和匿名化,难以被窥探者和政府察觉。
- 传输中的邮件将被完全加密。
- 收件人之间的邮件信封将被加密。
- 在本地存储消息数据的移动应用程序还将对加密数据进行操作。
- 各方之间的初始消息交换将以保护其隐私的方式进行。
- 帐户删除是完整且可验证的。
当然,有些提供商试图将消息传递朝这个方向发展。
我们之前的文章指导您使用第三方加载项来加密消息,例如GPG Tools和Keybase (可验证密钥的新兴公共目录) 。 Whisper Systems的Signal应用程序提供了加密的消息传递和呼叫。
Lavabit曾经提供了一个安全的电子邮件系统,该系统提供了许多这样的功能,但其创始人将其关闭,而不是面临政府完全访问的威胁。 沉默圈也同样如此。
但是现在,这些受启发的面向隐私的邮件系统的创始人又回来了。
黑暗邮件联盟
Dark Mail Alliance由这两家公司Silent Circle和Lavabit的创始人组成,他们致力于构建安全的私人电子邮件系统,从而推动该行业支持在整个行业提供通用隐私保护的开放标准。我是Apple Pay。
黑暗邮件任务
为了向世界展示我们独特的端到端加密协议和体系结构,这是私有和安全电子邮件的“下一代”。 作为“黑暗邮件技术联盟”的创始合作伙伴,Silent Circle和Lavabit都将努力使其他成员加入该联盟,协助他们实施新协议,并共同努力扩散世界上第一个端到端加密的“电子邮件3.0”遍布全球的电子邮件提供商。 我们的目标是开源协议和体系结构,并帮助其他人实施这项新技术,以解决针对监视和后门威胁的隐私问题。
该团队似乎正在取得稳步进展。 您可以阅读其详细的Internet邮件环境体系结构和规范(pdf) ,其中Levison将其项目专用于国家安全局:
您可以在Dark Mail上观看他的DEF CON 22演讲 :
ZDNet最近报道说,第一个Dark Mail提供商即将推出 。 Levison说:“由于花了很多时间来开发暗邮件协议,所以其他人可能会更幸运地使用开源代码并启动和运行第一个暗邮件电子邮件提供商。”
Apple Pay开创了一个先例,即正确地做消费者是一件正确的事,并有望使其他公司更有可能公开考虑采用Dark Mail支持。 目前,我们没有任何常规的电子邮件隐私保护就可以观看和等待。
请随时在下面发表您的问题和评论。 您也可以通过Twitter @reifman与我 联系或直接给我发送电子邮件 。 您可以通过浏览Envato Tuts +讲师页面找到其他教程。
相关链接
- Apple Pay安全和隐私概述
- Apple Pay和Google电子钱包的实际运作方式(Ars Technica)
- 深色邮件和Internet邮件环境的体系结构和规范(pdf)
- 脑外科手术的礼物 (作者)
翻译自: https://code.tutsplus.com/tutorials/what-apple-pay-can-teach-us-about-email-encryption--cms-23908