Перейти к содержанию

Безопасность электронной почты

Электронная почта по умолчанию является небезопасной формой коммуникации. Вы можете повысить безопасность электронной почты с помощью таких инструментов, как OpenPGP, которые добавляют сквозное шифрование в ваши сообщения, но OpenPGP все еще имеет ряд недостатков по сравнению с шифрованием в других приложениях для обмена сообщениями, а некоторые данные электронной почты никогда не могут быть зашифрованы по своей сути из-за того, как устроена электронная почта.

Таким образом, электронную почту лучше всего использовать для получения транзакционных писем (например, уведомлений, писем для проверки, сброса пароля и т.д.) от сайтов, в которых у вас есть аккаунт, а не для общения с другими людьми.

Обзор шифрования электронной почты

Стандартным способом добавления E2EE в электронные письма между различными поставщиками услуг электронной почты является использование OpenPGP. Существуют различные реализации стандарта OpenPGP, наиболее распространенными из которых являются GnuPG и OpenPGP.js.

Существует еще один стандарт, популярный в бизнесе, который называется S/MIME, однако для его использования требуется сертификат, выданный центром сертификации (не все из них выдают сертификаты S/MIME). Он имеет поддержку в Google Workplace и Outlook for Web или Exchange Server 2016, 2019.

Даже если вы используете OpenPGP, он не поддерживает прямую секретность, что означает, что если ваш закрытый ключ или закрытый ключ получателя когда-либо будет украден, все предыдущие сообщения, зашифрованные с его помощью, могут быть расшифрованы. Именно поэтому мы рекомендуем использовать для общения между людьми мессенджеры, которые обеспечивают прямую секретность, а не электронную почту.

Что такое стандарт Web Key Directory?

Стандарт Web Key Directory (WKD) позволяет почтовым клиентам находить OpenPGP-ключи для почтовых ящиков, даже расположенных у других провайдеров. Почтовые клиенты, поддерживающие WKD, запрашивают ключ у сервера получателя, основываясь на доменном имени его адреса. Например, когда вы пишете на jonah@privacyguides.org, ваш почтовый клиент запрашивает у privacyguides.org OpenPGP-ключ Джона, и если privacyguides.org имеет соответствующий ключ, ваше сообщение будет автоматически зашифровано.

В дополнение к рекомендованным почтовым клиентам, поддерживающим WKD, некоторые браузерные почтовые интерфейсы также поддерживают WKD. Будет ли ваш личный ключ опубликован в WKD для других пользователей, зависит от конфигурации вашего домена. Если вы пользуетесь почтовым провайдером, поддерживающим WKD, таким как Proton Mail или Mailbox.org, они опубликуют ваш OpenPGP-ключ на своем домене.

Если же вы используете свой собственный домен, вам потребуется настроить WKD отдельно. Если вы контролируете доменное имя, вы можете настроить WKD независимо от почтового провайдера. Это можно легко сделать при помощи сервиса WKD, предоставляемого keys.openpgp.org, установив CNAME-запись для поддомена openpgpkey, направляющего на wkd.keys.openpgp.org, а затем загрузив свой ключ на keys.openpgp.org. Кроме того, можно запустить WKD на собственном сервере.

Если вы используете общий домен от провайдера, не поддерживающего WKD, например @gmail.com, вы не сможете поделиться своим OpenPGP-ключом с другими при помощи данного метода.

Какие почтовые клиенты поддерживают E2EE?

Провайдеры электронной почты, позволяющие использовать стандартные протоколы доступа, такие как IMAP и SMTP, можно использовать с любым почтовым клиентом, которые мы рекомендуем. В зависимости от метода аутентификации, это может привести к снижению безопасности, если провайдер или почтовый клиент не поддерживает OATH или приложение-мост, поскольку многофакторная аутентификация невозможна при аутентификации по простому паролю.

Как я могу защитить свои приватные ключи?

Смарт-карта (например, YubiKey или Nitrokey) работает путем получения зашифрованного сообщения электронной почты с устройства (телефона, планшета, компьютера и т.д.), на котором установлен почтовый клиент. Затем сообщение расшифровывается смарт-картой, и расшифрованное содержимое отправляется обратно на устройство.

Расшифровку лучше производить на смарт-карте, чтобы избежать возможное раскрытие приватного ключа на скомпрометированном устройстве.

Обзор метаданных электронной почты

Метаданные электронной почты хранятся в заголовке птсьма электронной почты и включают некоторые видимые параметры, которые вы могли видеть, такие как: Кому, От, Копия, Дата, Тема. Существует также ряд скрытых заголовков, включаемых многими почтовыми клиентами и провайдерами, которые могут раскрыть информацию о вашем аккаунте.

Клиентское программное обеспечение может использовать метаданные электронной почты, чтобы показать, от кого пришло сообщение и в какое время оно было получено. Серверы могут использовать его для определения места отправки сообщения электронной почты, а также для других целей, которые не всегда прозрачны.

Кто может просматривать метаданные электронной почты?

Метаданные электронной почты защищены от внешних наблюдателей с помощью Opportunistic TLS, но они все еще могут быть видны программному обеспечению вашего почтового клиента (или веб-почты) и любым серверам, передающим сообщение от вас любым получателям, включая вашего поставщика услуг электронной почты. Иногда почтовые серверы для защиты от спама используют сторонние службы, которые, как правило, также имеют доступ к вашим сообщениям.

Почему метаданные не могут быть E2EE?

Метаданные электронной почты имеют решающее значение для самой базовой функциональности электронной почты (откуда она пришла и куда должна отправиться). E2EE изначально не был встроен в почтовые протоколы, вместо этого потребовалось дополнительное программное обеспечение, такое как OpenPGP. Поскольку сообщения OpenPGP по-прежнему должны работать с традиционными почтовыми провайдерами, он не может шифровать метаданные электронной почты, только само тело сообщения. Это означает, что даже при использовании OpenPGP сторонние наблюдатели могут увидеть много информации о ваших сообщениях, например, кому вы отправили письмо, тему письма, когда вы отправили письмо и т.д.

Вы просматриваете русскую копию Privacy Guides, переведённую нашей невероятной командой переводчиков на Crowdin. Если вы нашли ошибку или непереведённые разделы на этой странице, пожалуйста, помогите нам! Для получения дополнительной информации и советов см. наше руководство по переводу.

You're viewing the Russian copy of Privacy Guides, translated by our fantastic language team on Crowdin. If you notice an error, or see any untranslated sections on this page, please consider helping out! For more information and tips see our translation guide.