มุมมองข้อความก่อนเข้ารหัส - และนี่คือสิ่งที่เพื่อนของคุณจะเห็นก่อนถอดรหัส

PGP ได้รับการพัฒนาในปี 1991 โดย Phil Zimmerman เพื่อส่งต่ออีเมลในลักษณะที่ไม่มีใครอื่นนอกจากผู้รับสามารถอ่านได้ เรื่องนี้ทำให้เขามีปัญหากับเจ้าหน้าที่มากมาย จนกระทั่งในปี พ.ศ. 2539 ภายใต้แรงกดดันจากอุตสาหกรรมคอมพิวเตอร์ พวกเขาจึงปิดคดีในศาล

หลังจากที่ Network Associates ซื้อ PGP ในปี 1997 การพัฒนาก็ชะลอตัวลง และในปี 2001 งานเกี่ยวกับ PGP ก็หยุดลง โชคดีที่ PGP Corp. ได้ก่อตั้งขึ้นใหม่ ซื้อมันออกไป ผลิตภัณฑ์ซอฟต์แวร์และเตรียมเวอร์ชันใหม่สำหรับ Windows XP และ Mac OS X

โปรแกรมนี้ช่วยให้คุณสามารถเข้ารหัสและถอดรหัสอีเมลและ ไฟล์คอมพิวเตอร์- PGP ทำสิ่งนี้โดยการเข้ารหัสโดยใช้กุญแจสาธารณะ

การเข้ารหัสนี้ทำให้ทุกคนไม่สามารถเข้าถึงเมล (และไฟล์) ยกเว้นผู้ที่ตั้งใจจะใช้เมลดังกล่าว มันค่อนข้างยากที่จะอธิบายวิธีการเข้ารหัส แต่สาระสำคัญของวิธีนี้นั้นค่อนข้างเข้าถึงได้

สิ่งสำคัญคืออย่าสับสนรหัสและยันต์ ในรหัสคำและวลีจะถูกแทนที่ด้วยบางเงื่อนไข - ตัวอย่างเช่น "เด็กในเปล" หมายถึง "สินค้าได้รับการส่งมอบแล้ว" ยันต์อยู่ สูตรทางคณิตศาสตร์ตามข้อความที่ถูกแปลงเป็น gobbledygook ตัวอย่างการเข้ารหัสที่ง่ายที่สุดคือการเข้ารหัส A=1, B=2, B=3 เป็นต้น จากนั้นคำว่า “metro” จะถูกเข้ารหัสเป็น 136191715 การเข้ารหัสอาจซับซ้อนได้โดยการจัดเรียงตัวเลขในลำดับย้อนกลับ (A= 33, B=32 และอื่นๆ) หรือดำเนินการตามลำดับดั้งเดิม โดยคูณตัวเลขด้วยตัวเลขใดๆ ก็ตาม เช่น 7 จากนั้น "metro" จะเป็น 814213311985

อย่างไรก็ตาม สำนวนดังกล่าวสามารถถอดรหัสได้ง่าย พีซีแบบธรรมดาสามารถถอดรหัสรหัสนี้ได้ภายในไม่กี่ชั่วโมงโดยการวิเคราะห์ความถี่ของการเกิดตัวเลขแต่ละตัวและเปรียบเทียบกับความถี่ของตัวอักษรในภาษานั้น

นอกจากนี้ทั้งผู้ส่งและผู้รับจะต้องมีรหัส - วิธีการถอดรหัสข้อความ (ในตัวอย่างรถไฟใต้ดิน นี่จะเป็นตารางตัวอักษรและตัวเลขที่เกี่ยวข้อง) หากกุญแจตกไปผิดมือ ข้อความทั้งหมดจะถูกอ่าน แม้ว่าคนสองคนคืออลิซและบ็อบจะเปลี่ยนกุญแจตามวันที่และเวลา แต่ก็ไม่อาจหวังได้ว่าเมื่อกุญแจใหม่ถูกส่งจากอลิซไปยังบ็อบ มันจะไม่ถูกสกัดกั้นโดยสายลับศัตรูอีฟ

การเข้ารหัสคีย์สาธารณะ พัฒนาโดยนักคณิตศาสตร์มหาวิทยาลัยสแตนฟอร์ด Whitfield Diffie และ Martin Hellman ในปี 1976 ทำให้การจัดการคีย์เป็นเรื่องง่ายอย่างเหลือเชื่อ แต่มีเคล็ดลับเล็กน้อยที่นี่ ก่อนที่ดิฟฟีและเฮลล์แมนจะค้นพบ วิธีการเข้ารหัสทั้งหมดเป็นแบบสมมาตร โดยที่ผู้รับเพียงใช้วิธีการเข้ารหัสแบบผกผันเพื่อถอดรหัส การเข้ารหัสคีย์สาธารณะนั้นไม่สมมาตรและใช้สองคีย์—อันหนึ่งสำหรับการเข้ารหัสและอีกอันสำหรับการถอดรหัส เมื่อใช้วิธีนี้ Alice สามารถส่งข้อความที่เข้ารหัสโดยไม่ต้องส่งข้อความของเธอเอง รหัสลับ.

วิธีนี้ทำงานอย่างไร

มั่นใจได้อย่างไรว่าจะมีความลับมากขึ้น? โดยทั่วไปแล้วการเข้ารหัสคีย์สาธารณะได้รับการยกย่องจากผู้เชี่ยวชาญว่าไม่สามารถถอดรหัสได้ เนื่องจากการเลือกคีย์ใช้ไม่ได้ที่นี่ แม้ว่าคอมพิวเตอร์จะสามารถจัดเรียงคีย์ได้หลายพันคีย์ต่อวินาทีก็ตาม หลังจากที่ดิฟฟีและเฮลล์แมนค้นพบทางทฤษฎี นักคณิตศาสตร์ของ MIT สามคน ได้แก่ Ronald L. Rivest, Adi Shamir และ Leonard M. Eidelman ก็ค้นพบการนำไปประยุกต์ใช้ในทางปฏิบัติได้ พวกเขาใช้การแยกตัวประกอบเป็นพื้นฐานของวิธีการเข้ารหัส ซึ่งตั้งชื่อตามชื่อย่อ RSA

หากคุณจำพีชคณิตได้ การแยกตัวประกอบหมายถึงการนำตัวเลขมาแยกย่อยเป็นตัวประกอบเฉพาะที่หารด้วยตัวมันเองหรือตัวเดียวลงตัวเท่านั้น ดังนั้นจำนวน 210 สามารถแยกตัวประกอบได้เป็น 1 x 2 x 3 x 5 x 7 ซึ่งเป็นจำนวนเฉพาะห้าตัวแรก อะไรก็ตามล่วงหน้า หมายเลขที่กำหนดประกอบด้วยปัจจัยเฉพาะชุดเดียว

แต่ไม่ว่าปัญหานี้จะดูง่ายแค่ไหน แต่ก็เป็นเรื่องยากมากที่จะแก้ไขหากคุณกำลังเผชิญอยู่ จำนวนมาก- ในปัจจุบัน จำนวนที่มากที่สุดที่เคยแยกตัวประกอบคือ 155 หลัก และการแยกตัวประกอบนั้นต้องใช้คอมพิวเตอร์ 292 เครื่องทำงานร่วมกันในระยะเวลาเจ็ดเดือน

นี่คือความลับของการเข้ารหัสคีย์สาธารณะ: การคูณปัจจัยสำคัญสองตัวนั้นเป็นเรื่องง่าย แต่การแปลงผลลัพธ์กลับเป็นจำนวนเฉพาะของคอมโพเนนต์นั้นยากมาก กุญแจสาธารณะของอลิซเป็นผลคูณของจำนวนเฉพาะสองตัว ได้แก่ p และ q ในการถอดรหัสข้อความที่อลิซส่ง อีฟจะต้องรู้ทั้ง p และ q ซึ่งอยู่ในรหัสลับของอลิซ ตอนนี้คุณเข้าใจความซับซ้อนแล้ว โดยเฉพาะอย่างยิ่งหากคุณจำได้ว่าอลิซสามารถเลือกจำนวนเฉพาะได้สองตัว โดยแต่ละตัวจะมีความยาวมากกว่า 100 อักขระ

กุญแจสาธารณะตามชื่อของมันนั้นถูกแจกจ่ายอย่างเสรีและมักจะโพสต์บนหน้าเว็บส่วนตัว รหัสลับจะไม่แชร์กับใครเลย สมมติว่า Bob ต้องการส่งข้อความถึงอลิซ เขานำกุญแจสาธารณะของเธอไปใช้เพื่อเข้ารหัส และส่งข้อความถึงเธอ เนื่องจากคีย์ PGP สาธารณะของ Alice (p x q) เชื่อมโยงกับคีย์ส่วนตัวของเธอซึ่งมี p และ q เธอจึงสามารถถอดรหัสข้อความได้แม้ว่าเธอจะไม่เคยสื่อสารกับ Bob มาก่อนก็ตาม แม้ว่าอีฟจะสกัดกั้นข้อความ เธอจะไม่สามารถถอดรหัสข้อความได้ เนื่องจากหากไม่ทราบรหัสลับ จึงเป็นไปไม่ได้ที่จะแยกย่อย p และ q ออกจากพับลิกคีย์

โปรแกรม PGP ดำเนินการทั้งหมดนี้อย่างโปร่งใส คุณไม่จำเป็นต้องคิดถึงจำนวนเฉพาะและการขยายตัวเลย โปรแกรมจะช่วยคุณสร้างกุญแจสาธารณะและกุญแจส่วนตัวและทำให้กุญแจสาธารณะของคุณพร้อมใช้งาน PGP ทำงานร่วมกับโปรแกรมอีเมลทั่วไป เช่น Outlook XP สำหรับ Windows, Mail แอพและ Entourage บน Mac เพื่อเข้ารหัส อีเมลคุณเพียงแค่ต้องเขียนข้อความแล้วคลิกปุ่ม "เข้ารหัส" และ "ส่ง" โปรแกรมสามารถค้นหาและดาวน์โหลดคีย์สาธารณะของผู้ติดต่อที่ส่งข้อความเข้ารหัสถึงคุณจากหนึ่งในเซิร์ฟเวอร์หลักหลายแห่งโดยอัตโนมัติ และถ้ามีคนขัดขวางจดหมายของคุณ พวกเขาจะไม่ได้รับประโยชน์ใดๆ จากจดหมายนั้น

ทำไมต้องกังวล?

เหตุใดจึงต้องกังวลและวุ่นวายสอดแนมทั้งหมดนี้? คุณควรกังวลหากมีคนอื่นอ่านอีเมลของคุณหรือไม่? แต่คุณเขียนจดหมายทั้งหมดลงบนโปสการ์ดหรือไม่?

คุณต้องการให้คนที่มีความรู้ด้านคอมพิวเตอร์สามารถอ่านอีเมลของคุณได้อย่างสะดวกสบายหรือไม่? อย่าคิดนะ.

หากต้องการใช้การเข้ารหัสและ/หรือลายเซ็นดิจิทัลตามมาตรฐาน OpenPGP คุณต้องสร้างคีย์ PGP คู่หนึ่งและส่งคีย์สาธารณะของคุณไปยังผู้สื่อข่าว (เพื่อให้พวกเขามีโอกาสเข้ารหัสตัวอักษรที่ส่งถึงคุณ) หรือนำเข้าคีย์ PGP สาธารณะ จากบุคคลอื่น (เพื่อให้พวกเขาสามารถส่งอีเมลที่เข้ารหัสถึงพวกเขาได้) การดำเนินการทั้งสองสามารถทำได้โดยใช้วิซาร์ดการกำหนดค่า PGPในเมนูบริการ - ตัวช่วยสร้างจะแนะนำคุณตลอดกระบวนการสร้าง/นำเข้าคู่คีย์ PGP หรือการนำเข้าคีย์สาธารณะ

ขั้นตอนแรกของวิซาร์ดจะอธิบาย หลักการทั่วไปพีจีพีทำงาน.

ขั้นตอนที่สองขอให้คุณเลือกระหว่างการสร้างคู่คีย์ PGP สาธารณะ-ส่วนตัวใหม่ หรือการนำเข้าคีย์ที่มีอยู่

การสร้างใหม่ หน้าปัด PGPกุญแจ

หากคุณเลือกที่จะสร้างคู่คีย์ใหม่ ก่อนอื่นวิซาร์ดจะแจ้งให้คุณระบุว่าคีย์ถูกสร้างขึ้นสำหรับ Persona ใด

คุณควรระบุรหัสผ่านที่จะป้องกันคีย์ด้วย

ปุ่มการตั้งค่า ช่วยให้คุณสามารถติดตั้ง ตัวเลือกเพิ่มเติมปุ่ม (คุณสามารถปล่อยให้เป็นค่าเริ่มต้นได้)

ประเภทกุญแจ - ให้คุณเลือกอัลกอริธึมการเข้ารหัสและลายเซ็นดิจิทัล มีสองตัวเลือกให้เลือก: RSA และ Elgmal/DSS ที่ การเลือก RSAอัลกอริธึมที่ใช้สำหรับทั้งการเข้ารหัสและลายเซ็นดิจิทัล ในกรณีของ Elgmal/DSS นั้น Elgmal ใช้สำหรับการเข้ารหัส และใช้ DSS สำหรับการลงนาม

ขนาดกุญแจ - ให้คุณเลือกความยาวของคีย์ได้ ความยาวประแจที่ยาวขึ้นให้ผลมากกว่า การป้องกันที่เชื่อถือได้- อย่างไรก็ตาม โปรดทราบว่าคีย์ที่ยาวอาจทำให้เกิดความล่าช้าอย่างมากในระหว่างการเข้ารหัส/ถอดรหัส

หมดอายุ - กำหนดระยะเวลาความถูกต้องของคีย์ไว้ที่นี่ เมื่อระยะเวลาที่ใช้ได้หมดลง คุณจะต้องใช้คีย์คู่ใหม่ คีย์ส่วนตัวจะไม่สามารถถอดรหัสข้อความได้อีกต่อไป และคีย์สาธารณะจะไม่สามารถเข้ารหัสได้อีกต่อไป

ขั้นตอนต่อไปของวิซาร์ดจะแนะนำให้ส่งออกคีย์สาธารณะไปยังไฟล์ *.pgp เพื่อการแจกจ่ายในภายหลัง

นำเข้าคีย์ PGP

หากคุณเลือกที่จะนำเข้าคีย์แทนที่จะสร้างมันขึ้นมา ขั้นตอนต่อไปจะแจ้งให้คุณนำเข้าคีย์ ในการทำเช่นนี้คุณจะต้องกดปุ่มทบทวน และเลือกไฟล์ที่มีคีย์คู่หนึ่ง (สาธารณะและส่วนตัว) หรือไฟล์คีย์สาธารณะจากบุคคลที่คุณวางแผนจะติดต่อด้วย

เมื่อนำเข้าแล้ว กุญแจสาธารณะเป็นไปได้ที่จะส่งข้อความที่เข้ารหัสไปยังเจ้าของคีย์ เพื่อเข้ารหัส ข้อความที่สร้างขึ้นคุณต้องไปที่เมนูพีจีพี และเปิดใช้งานตัวเลือกเข้ารหัสจดหมาย- อีเมลจะถูกเข้ารหัสโดยอัตโนมัติเมื่อคุณกดปุ่มส่ง - ไฟล์แนบทั้งหมดจะถูกเข้ารหัสด้วย

การมีคีย์ PGP ส่วนตัวทำให้คุณสามารถเพิ่มลายเซ็นดิจิทัลลงในตัวอักษรได้ สำหรับผู้รับ ลายเซ็นจะเป็นการรับประกันว่าจดหมายนั้นมาจากคุณโดยเฉพาะ หากต้องการเพิ่มลายเซ็นดิจิทัลลงในข้อความอีเมล ให้ไปที่เมนูพีจีพี เปิดใช้งานพารามิเตอร์ลงนามในจดหมาย.

เมื่อมีข้อความที่เข้ารหัสมาถึง EssentialPIM จะพยายามถอดรหัสโดยอัตโนมัติเมื่อคุณพยายามอ่าน ข้อความที่เข้ารหัสสามารถระบุได้อย่างง่ายดายด้วยไอคอนแม่กุญแจ

หากคีย์ PGP ของคุณมีการป้องกันด้วยรหัสผ่าน โปรแกรมจะขอให้คุณป้อนรหัสผ่านเมื่อคุณพยายามอ่านข้อความที่เข้ารหัส

จำรหัสผ่านเป็นเวลา X นาที- ตัวเลือกนี้อนุญาต เวลาที่แน่นอนถอดรหัสตัวอักษรโดยไม่ต้องขอรหัสผ่านเพิ่มเติม ฟังก์ชั่นนี้มีประโยชน์เมื่อคุณต้องอ่านข้อความที่เข้ารหัสหลายข้อความ

เมื่อถอดรหัสตัวอักษรสำเร็จแล้ว EssentiaalPIM จะเพิ่มคำจารึกที่เกี่ยวข้องในส่วนหัวของตัวอักษร -จดหมายถอดรหัส.

หากจดหมายลงนามแบบดิจิทัลและลายเซ็นได้รับการยืนยัน รายการต่อไปนี้จะถูกเพิ่มในส่วนหัว:

หากการถอดรหัสล้มเหลวไม่ว่าด้วยเหตุผลใดก็ตาม รหัสผ่านผิดหรือไม่มีคีย์ที่เกี่ยวข้อง ข้อความต่อไปนี้จะถูกเพิ่มในส่วนหัว:

เพื่อให้มั่นใจในการส่งข้อมูลของคุณอย่างปลอดภัย Yandex.Mail จะใช้การเข้ารหัสข้อมูลนี้โดยใช้โปรโตคอล SSL และ TLS- หากไม่ได้เปิดใช้งานการเข้ารหัสข้อมูลที่ส่งในการตั้งค่าโปรแกรมอีเมลของคุณ คุณจะไม่สามารถรับหรือส่งจดหมายโดยใช้โปรแกรมนี้ได้

คำแนะนำในการเปิดใช้งานการเข้ารหัสในโปรแกรมอีเมลต่างๆ:

เมื่อเปิดใช้งานการเข้ารหัส SSL ในโปรแกรมอีเมลของคุณ คุณอาจได้รับข้อผิดพลาดเกี่ยวกับใบรับรองที่ไม่ถูกต้อง สาเหตุหลักของข้อผิดพลาดดังกล่าวและวิธีแก้ไขแสดงอยู่ในบทความ ../mail-clients.html#client-ssl-errors

ไมโครซอฟต์ เอาท์ลุค

1. เปิดเมนู ไฟล์ → การตั้งค่าบัญชี, เลือก บัญชีบนแท็บ อีเมลและคลิกปุ่มเปลี่ยน
2. คลิกปุ่ม การตั้งค่าอื่นๆ.
3. ไปที่แท็บขั้นสูงแล้วระบุ พารามิเตอร์ต่อไปนี้ขึ้นอยู่กับโปรโตคอลที่คุณใช้:

   IMAP

   • เซิร์ฟเวอร์ IMAP - 993;
   • เซิร์ฟเวอร์ SMTP - 465

   ในรายการนี้ เลือก SSL สำหรับเซิร์ฟเวอร์ IMAP และ SMTP

   คลิกปุ่มตกลง

   ป๊อป3

   • เซิร์ฟเวอร์ POP3 - 995;
   • เซิร์ฟเวอร์ SMTP - 465

   เปิดใช้งานตัวเลือก จำเป็นต้องมีการเชื่อมต่อที่เข้ารหัส (SSL)และเลือกเข้า ใช้ ประเภทถัดไปการเชื่อมต่อที่เข้ารหัสค่า SSL

   คลิกปุ่มตกลง

4. เพื่อเสร็จสิ้นการตั้งค่าบัญชีของคุณ ให้คลิกในหน้าต่าง เปลี่ยนบัญชีปุ่มถัดไป - การตั้งค่าบัญชีของคุณจะถูกตรวจสอบ หากการทดสอบสำเร็จ คลิกเสร็จสิ้น หากไม่เป็นเช่นนั้น ตรวจสอบให้แน่ใจว่าระบุพารามิเตอร์ทั้งหมดอย่างถูกต้อง

เอาท์ลุค เอ็กซ์เพรส

มอซิลลา ธันเดอร์เบิร์ด

1. คลิกขวาที่ชื่อบัญชีและเลือกการตั้งค่า
2. ไปที่ส่วน การตั้งค่าเซิร์ฟเวอร์

   IMAP

   • ความปลอดภัยในการเชื่อมต่อ- SSL/TLS;
   • พอร์ต - 993

   คลิกปุ่มตกลง

   ป๊อป3

   • ความปลอดภัยในการเชื่อมต่อ- SSL/TLS;
   • พอร์ต - 995

   คลิกปุ่มตกลง

3. ไปที่ส่วน เซิร์ฟเวอร์จดหมายขาออก (SMTP), เลือกเส้น ยานเดกซ์เมลและคลิกปุ่มเปลี่ยน ในหน้าต่างเซิร์ฟเวอร์ SMTP ระบุพารามิเตอร์ต่อไปนี้:
   • พอร์ต - 465;
   • ความปลอดภัยในการเชื่อมต่อ- SSL/TLS

ค้างคาว

1. เปิดเมนู กล่อง → การตั้งค่า ตู้ไปรษณีย์ .
2. ไปที่ส่วนการขนส่งและระบุพารามิเตอร์ต่อไปนี้ขึ้นอยู่กับโปรโตคอลที่ใช้:

   IMAP

   กำลังส่งจดหมาย

   • พอร์ต - 465;
   • การเชื่อมต่อ - .
   การรับจดหมาย
   • พอร์ต - 993;
   • การเชื่อมต่อ - รักษาความปลอดภัยบนพอร์ตพิเศษ (TLS).

   คลิกปุ่มตกลง

   ป๊อป3

   กำลังส่งจดหมาย

   • พอร์ต - 465;
   • การเชื่อมต่อ - รักษาความปลอดภัยบนพอร์ตพิเศษ (TLS).
   การรับจดหมาย
   • พอร์ต - 995;
   • การเชื่อมต่อ - รักษาความปลอดภัยบนพอร์ตพิเศษ (TLS).

   คลิกปุ่มตกลง

โอเปร่าเมล

แอปเปิลเมล

1. เปิดเมนู เมล → การตั้งค่า → บัญชี → คุณสมบัติบัญชี- เลือกในส่วน ผลลัพธ์ของเซิร์ฟเวอร์ เมล (SMTP)ย่อหน้า เอ็ด รายชื่อเซิร์ฟเวอร์ SMTP.
2. เปิดใช้งานตัวเลือกใช้ SSL ใน ใช้พอร์ตสุ่มป้อนค่า 465

   คลิกปุ่มตกลง

3. ไปที่แท็บ Add-on และระบุตัวเลือกต่อไปนี้ขึ้นอยู่กับโปรโตคอลที่คุณใช้:

   IMAP

   • พอร์ต - 993;

   ป๊อป3

   • พอร์ต - 995;
   • เปิดใช้งานตัวเลือกใช้ SSL

ไอโอเอส

1. เปิดเมนู การตั้งค่า → จดหมาย ที่อยู่ ปฏิทิน.
2. ในส่วนบัญชี ให้เลือกบัญชีของคุณ
3. ที่ด้านล่างของหน้า ให้คลิกปุ่มเพิ่มเติม
4. ในส่วน การตั้งค่ากล่องจดหมายระบุพารามิเตอร์ต่อไปนี้ขึ้นอยู่กับโปรโตคอลที่ใช้:

   IMAP

   • พอร์ตเซิร์ฟเวอร์คือ 993

   ป๊อป3

   • เปิดใช้งานตัวเลือกใช้ SSL;
   • พอร์ตเซิร์ฟเวอร์คือ 995
5. กลับไปที่เมนูบัญชี รายการและในส่วน เซิร์ฟเวอร์จดหมายขาออกคลิกปุ่ม SMTP
6. ในส่วน เซิร์ฟเวอร์หลัก คลิกที่บรรทัดเซิร์ฟเวอร์ smtp.site
7. ในส่วน เซิร์ฟเวอร์จดหมายขาออกระบุพารามิเตอร์ต่อไปนี้:
   • เปิดใช้งานตัวเลือกใช้ SSL;
   • พอร์ตเซิร์ฟเวอร์ - 465

   คลิกปุ่มเสร็จสิ้น

8. กลับไปที่เมนูบัญชีแล้วคลิกเสร็จสิ้น

หุ่นยนต์

วินโดว์โฟน

1. ไปที่ส่วน การตั้งค่า → เมล+บัญชี.
2. เลือกบัญชีของคุณ
3. ที่ด้านล่างของหน้าคลิก การตั้งค่าเพิ่มเติม และระบุพารามิเตอร์ต่อไปนี้ขึ้นอยู่กับโปรโตคอลที่ใช้:

   IMAP

   • เซิร์ฟเวอร์จดหมายขาเข้า - imap.yandex.ru :993

   ทำเครื่องหมายในช่อง เมลขาเข้าต้องใช้ SSLและ .

   บันทึกการเปลี่ยนแปลงของคุณ

   ป๊อป3

   • เซิร์ฟเวอร์จดหมายขาเข้า - pop.yandex.ru :995
   • เซิร์ฟเวอร์เมลขาออก - smtp.yandex.ru :465

   ทำเครื่องหมายในช่อง เมลขาเข้าต้องใช้ SSLและ เมลขาออกต้องใช้ SSL.

   บันทึกการเปลี่ยนแปลงของคุณ

อื่น

หากคุณมีโปรแกรมอีเมลอื่น ให้เปิดใช้งานการเข้ารหัสข้อมูลที่ส่งในการตั้งค่า โปรโตคอล SSL(TLS) สำหรับการรับเมล (IMAP หรือ POP3) และสำหรับการส่งอีเมล (SMTP) หลังจากนั้นให้เปลี่ยนค่าพอร์ตสำหรับการเชื่อมต่อกับเซิร์ฟเวอร์ดังต่อไปนี้

บริการเข้ารหัสลับสำหรับอีเมลได้รับการพัฒนามานานแล้ว แต่แม้กระทั่ง 25 ปีหลังจากการถือกำเนิดของ PGP บริการเหล่านี้ก็ยังไม่เป็นที่ต้องการมากนัก เหตุผลก็คือพวกมันใช้โครงสร้างพื้นฐานการส่งข้อความที่ล้าสมัย ถูกบังคับให้ใช้สภาพแวดล้อมที่ไม่น่าเชื่อถือ (รวมถึงชุดเมลเซิร์ฟเวอร์แบบสุ่ม) มีความเข้ากันได้ที่จำกัด มีข้อบกพร่องที่ทราบจำนวนเพิ่มมากขึ้น และมีความซับซ้อนสำหรับผู้ใช้ทั่วไป คุณสามารถเข้าใจความซับซ้อนของการเข้ารหัสได้อย่างง่ายดาย แต่วันหนึ่งเจ้านายที่ยุ่งตลอดเวลาของคุณจะสับสนในสองคีย์และอัปโหลดคีย์ลับไปยังเซิร์ฟเวอร์ เผาจดหมายโต้ตอบทั้งหมดของคุณทันที แน่นอนคุณจะถูกตำหนิ

แนวคิดของการเข้ารหัสเมลนั้นแบ่งออกเป็นงานที่ประยุกต์หลายงาน ซึ่งสามารถแยกแยะได้สองงานหลัก: มันคือการป้องกัน แอบมองจดหมายที่ได้รับแล้วและเตรียมพร้อมสำหรับการส่ง (ฐานข้อมูลเมล) และการป้องกันจดหมายโดยตรงระหว่างการส่งต่อ - จากการเปิดเผยหรือแก้ไขข้อความเมื่อถูกดักจับ

กล่าวอีกนัยหนึ่ง การป้องกันเมลเข้ารหัสผสมผสานวิธีการต่อต้านการเข้าถึงที่ไม่ได้รับอนุญาตและการโจมตีแบบแทรกกลางซึ่งเป็นพื้นฐาน โซลูชั่นที่แตกต่างกัน- น่าเสียดายที่พวกเขามักจะสับสนและพยายามใช้วิธีที่ไม่เหมาะสม ฉันขอเสนอเรื่องราวสั้น ๆ เกี่ยวกับตัวละครเข้ารหัสที่มีชื่อเสียงสองตัวซึ่งควรวางทุกอย่างไว้ในที่ของมันและแสดงให้เห็นอย่างชัดเจนถึงปัญหาของการเข้ารหัสเมล อย่างที่พวกเขาพูดกัน ไม่มีเรื่องราวใดที่เป็นความลับเกี่ยวกับหลุมศพมากไปกว่าเรื่องราวของอลิซและบ็อบ!

ด้วยการคลิกสองครั้ง Bob จะเข้ารหัสด้วยคีย์ที่อลิซรู้จัก เขาหวังว่าเขาจะป้อนอย่างถูกต้องจากหน่วยความจำเมื่อตั้งค่า CryptoData บนคอมพิวเตอร์สาธารณะ มิฉะนั้น ข้อความสำคัญจะยังคงเป็นความสับสนของอักขระที่เขาแทรกลงในเนื้อความของตัวอักษรโดยคัดลอกจากหน้าต่าง CryptoData

อลิซได้รับจดหมายแปลกๆ มองเห็นจุดเริ่มต้นที่คุ้นเคยของ S3CRYPT ในนั้น และเข้าใจว่าเธอต้องใช้ CryptoData กับรหัสที่เธอเคยแลกเปลี่ยนกับ Bob แต่หลังจากนั้นก็มีเรื่องมากมายเกิดขึ้น และเธออาจจำไม่ได้ว่ากุญแจนั้นคืออะไร

พยายามถอดรหัสจดหมาย

หากอลิซใช้วิธีช่วยจำอย่างมหัศจรรย์แต่ป้อนคีย์ที่ถูกต้อง ข้อความจากบ็อบจะอยู่ในรูปแบบที่อ่านง่าย

จดหมายถูกถอดรหัสแล้ว

อย่างไรก็ตาม ความทรงจำของหญิงสาวยังห่างไกลจาก EEPROM บ็อบจึงได้รับคำตอบที่ไม่คาดคิด

แน่นอนว่า Bob รู้วิธีใช้ PGP แต่ครั้งสุดท้ายที่เขาทำสิ่งนี้คือทางไปรษณีย์ ลูกค้าค้างคาวซึ่งติดตั้งอยู่บนแล็ปท็อปที่ถูกระเบิด จะตรวจสอบรหัสที่ส่งได้อย่างไร? จะเป็นอย่างไรถ้าอลิซถูกทรมานตอนนี้ และพวกเขากำลังตอบเขาจากที่อยู่ของเธอ และพยายามค้นหาความลับของเธอล่ะ? ดังนั้น Bob จึงขอการรับประกันเพิ่มเติมเกี่ยวกับความถูกต้องของกุญแจ ตัวอย่างเช่น คุณสามารถขอให้แจ็คตรวจสอบและลงนามได้

พีจีพี เว็บแห่งความไว้วางใจ

อลิซมีปฏิกิริยาแปลกๆเล็กน้อย เธอแจ้งข่าวการหายตัวไปอย่างกะทันหันของแจ็คและเสนอวิธีการยืนยันทางเลือกอื่น อย่างไรก็ตามไม่ค่อยน่าเชื่อถือ ลายเซ็นดิจิทัล S/MIME ที่ง่ายที่สุดจะยืนยันที่อยู่ของผู้ส่งเท่านั้น แต่จะยืนยันตัวตนของเขาไม่ได้ ดังนั้น บ็อบจึงใช้กลอุบาย: เขาขอให้ยืนยันกุญแจผ่านช่องทางการสื่อสารอื่น ขณะเดียวกันก็ตรวจสอบความลับที่แชร์กับอลิซ ซึ่งมีเพียงพวกเขาเท่านั้นที่รู้

การใช้ลายนิ้วมือที่สำคัญและความลับร่วมกัน

หลังจากนั้นไม่นาน เขาได้รับ SMS พร้อมการพิมพ์รหัสที่ถูกต้องและจดหมายใหม่จากอลิซ

คีย์ลายนิ้วมือและตอบคำถามเพื่อความปลอดภัย

จดหมายดูน่าเชื่อ ลายนิ้วมือของกุญแจตรงกัน แต่บ็อบกลับยุ่งวุ่นวาย หลังจากอ่านคำตอบของคำถามลับแล้ว เขาก็พบว่าเขาไม่ได้คุยกับอลิซอยู่

ข้อความสุดท้ายของ Bob ถึงหลอกอลิซ

เรขาคณิตการเข้ารหัส

ในเรื่องนี้ อลิซและบ็อบพยายามใช้สองอย่างโดยพื้นฐาน ประเภทต่างๆการป้องกันการเข้ารหัส ใน CryptoData สำหรับการเข้ารหัสและถอดรหัสโดย อัลกอริทึม AESใช้กุญแจอันเดียวกัน ดังนั้นระบบเข้ารหัสดังกล่าวจึงเรียกว่าสมมาตร

PGP ต่างจาก AES-CTR ตรงที่ใช้คีย์ที่แตกต่างกันแต่เกี่ยวข้องกันทางคณิตศาสตร์ นี่คือระบบที่ไม่สมมาตรซึ่งออกแบบบนหลักการของการล็อคด้วยสลัก: ใครๆ ก็สามารถปิดประตูได้ (เข้ารหัสข้อความ) แต่มีเพียงเจ้าของกุญแจเท่านั้นที่สามารถเปิดมันได้ (ถอดรหัสข้อความ)

ในระบบสมมาตร มันง่ายกว่าที่จะบรรลุความแข็งแกร่งของการเข้ารหัสสูงด้วยความยาวของคีย์ที่ค่อนข้างสั้น แต่เพื่อที่จะดำเนินการโต้ตอบที่เข้ารหัส คีย์นี้จะต้องถูกส่งไปยังคู่สนทนาก่อนผ่านช่องทางที่เชื่อถือได้ก่อน หากบุคคลภายนอกทราบกุญแจ การติดต่อที่ถูกดักไว้ก่อนหน้านี้ทั้งหมดจะถูกเปิดเผย ดังนั้นการเข้ารหัสแบบสมมาตรจึงถูกใช้เพื่อการปกป้องฐานข้อมูลอีเมลในเครื่องเป็นหลัก แต่ไม่ใช่สำหรับการส่งต่ออีเมล

ระบบอสมมาตรแก้ปัญหาการส่งคีย์ผ่านสื่อที่ไม่น่าเชื่อถือโดยใช้คู่คีย์โดยเฉพาะ กุญแจสาธารณะใช้ในการเข้ารหัสข้อความที่ส่งไปยังผู้รับที่ระบุ และตรวจสอบลายเซ็นการเข้ารหัสในจดหมายที่ได้รับจากเขา ความลับ - สำหรับการถอดรหัสจดหมายที่ได้รับและลงนามในจดหมายที่ส่ง เมื่อจัดการการติดต่อที่ปลอดภัย คู่สนทนาจะต้องแลกเปลี่ยนกุญแจสาธารณะเท่านั้น และการสกัดกั้น (เกือบ) จะไม่ส่งผลกระทบใด ๆ ดังนั้นระบบดังกล่าวจึงเรียกว่าการเข้ารหัสคีย์สาธารณะ การสนับสนุน PGP มีการใช้งานในไคลเอนต์อีเมลมาเป็นเวลานาน แต่เมื่อใช้อีเมลผ่านอินเทอร์เฟซเว็บ จะจำเป็นต้องใช้โปรแกรมเสริมของเบราว์เซอร์

เราเลือก CryptoData เป็นตัวอย่างเพราะเหตุทั้งหมด ส่วนขยายที่รู้จัก̆ ในขณะที่เขียนบทความนี้ มีเพียงสถานะล่าสุดและฟอรัมภาษารัสเซียสดเท่านั้น อย่างไรก็ตาม การใช้ CryptoData คุณไม่เพียงแต่สามารถเข้ารหัสอีเมลเท่านั้น แต่ยังจัดเก็บบันทึกย่อในเครื่องภายใต้การป้องกัน AES และแม้แต่สร้างและดูเว็บไซต์ที่เข้ารหัสอีกด้วย

CryptoData มีให้สำหรับ เบราว์เซอร์ไฟร์ฟอกซ์เป็นส่วนเสริม นอกจากนี้ยังรองรับไคลเอนต์อีเมล Thunderbird และ SeaMonkey ข้อความถูกเข้ารหัสโดยใช้อัลกอริทึม AES แม้จะมีลักษณะบล็อก แต่ในโหมดตอบโต้ (CTR) จะใช้การเข้ารหัสสตรีม

ข้อดีของ CryptoData ได้แก่ การดำเนินการที่ทราบ AES-CTR ผ่าน JavaScript ข้อเสียเปรียบหลักของ CryptoData (เช่นเดียวกับระบบสมมาตร) คือไม่สามารถแลกเปลี่ยนคีย์อย่างปลอดภัยได้

เมื่อใช้ CryptoData ในอีเมล นอกเหนือจากข้อความที่เข้ารหัสแล้ว คุณต้องถ่ายโอนคีย์เพื่อถอดรหัสด้วย การทำเช่นนี้อย่างปลอดภัยผ่านทางอินเทอร์เน็ตเป็นเรื่องยากมาก จำเป็นต้องสร้างช่องทางที่เชื่อถือได้ และจัดการประชุมส่วนตัวตามหลักการ ดังนั้นจึงไม่สามารถเปลี่ยนคีย์ได้บ่อย หากคีย์ถูกบุกรุก มันจะเปิดเผยการติดต่อที่เข้ารหัสที่ถูกสกัดกั้นก่อนหน้านี้ทั้งหมด

ข้อเสียเปรียบที่มีนัยสำคัญน้อยกว่าคือจุดเริ่มต้นของข้อความที่เข้ารหัสทั้งหมดที่สามารถจดจำได้ หลังจากที่มาตรฐานเริ่มต้น "S3CRYPT:BEGIN" เป็นข้อความที่ชัดเจนอัลกอริธึมที่ใช้และโหมดการเข้ารหัส (AESCTR หรือ RC4) จะถูกระบุ วิธีนี้ทำให้ง่ายต่อการเลือกสกัดกั้นข้อความที่เข้ารหัส (โดยปกติจะเขียนสิ่งที่สำคัญที่สุดทั้งหมดไว้) และถอดรหัสข้อความเหล่านั้น

CryptFire, การสื่อสารที่เข้ารหัส และส่วนขยายอื่น ๆ อีกมากมายทำงานคล้ายกับ CryptoData

เพื่อความสะดวกในการแลกเปลี่ยนกุญแจสาธารณะและการยืนยัน จะมีการสร้างที่เก็บข้อมูลเฉพาะ บนเซิร์ฟเวอร์คีย์สาธารณะดังกล่าว การค้นหาเซิร์ฟเวอร์ที่เกี่ยวข้องจะง่ายกว่า ผู้ใช้ที่ต้องการ- ในเวลาเดียวกัน คุณไม่จำเป็นต้องลงทะเบียนกับแหล่งข้อมูลที่น่าสงสัยและเสี่ยงต่อการเปิดเผยรหัสลับของคุณ

จากอัลกอริทึมไปจนถึงมาตรฐานการเข้ารหัสเมล

ในการทำงานกับการติดต่อสื่อสารแบบเข้ารหัส คู่สนทนาจะต้องใช้วิธีการเข้ารหัสแบบเดียวกัน ดังนั้นการป้องกันเมลในระดับแอปพลิเคชันหรือบริการจึงใช้ระบบการเข้ารหัสบางประเภทภายในกรอบของมาตรฐานการเข้ารหัสที่ยอมรับโดยทั่วไป ตัวอย่างเช่น, ลูกค้าธันเดอร์เบิร์ดรองรับ GnuPG fork ผ่านส่วนเสริมของ Enigmail ในรูปแบบการใช้งานแบบเปิดของระบบเข้ารหัส PGP ตามมาตรฐาน OpenPGP

ในทางกลับกัน PGP และระบบเข้ารหัสอื่น ๆ จะขึ้นอยู่กับอัลกอริธึมการเข้ารหัสหลายอย่างที่ใช้ในขั้นตอนการทำงานที่แตกต่างกัน พบมากที่สุดในบรรดาอัลกอริธึม การเข้ารหัสแบบไม่สมมาตรยังคงเป็น RSA นอกจากนี้ยังใช้ในระบบเข้ารหัส PGP ดั้งเดิมโดย Philipp Zimmermann ใช้ RSA เพื่อเข้ารหัสแฮช MD5 128 บิตและคีย์ IDEA 128 บิต

ส้อม PGP ต่างๆ (เช่น GnuPG) มีความแตกต่างทางอัลกอริทึมของตัวเอง แต่ถ้าระบบเข้ารหัสเป็นไปตามข้อกำหนด มาตรฐานทั่วไป OpenPGP ก็ยังเข้ากันได้ คู่สนทนาสามารถดำเนินการโต้ตอบที่ปลอดภัยโดยใช้ รุ่นที่แตกต่างกัน̆ โปรแกรมเข้ารหัส รวมถึงโปรแกรมที่ออกแบบมาสำหรับแพลตฟอร์มที่แตกต่างกัน ดังนั้นจึงสามารถอ่านจดหมายที่เข้ารหัสด้วย PGP ที่แต่งใน Thunderbird สำหรับ Linux ได้ ค้างคาวสำหรับ Windows และแม้แต่ผ่านเบราว์เซอร์ที่รองรับ OpenPGP ในระดับส่วนเสริม

การเข้ารหัสเมลโดยใช้ OPENPGP

OpenPGP ได้รับการเสนอในปี 1997 แต่การพัฒนามาตรฐานนั้นทำได้ยากเนื่องจากชะตากรรมของอัลกอริทึม PGP เอง สิทธิ์ได้รับการโอนอย่างต่อเนื่องจาก Zimmermann และ PGP Inc. ไปยัง Network Associates (McAfee), PGP Corporation และ Symantec ผู้ถือลิขสิทธิ์รายใหม่แต่ละรายได้เปลี่ยนแปลงการใช้งานอัลกอริทึมขั้นสุดท้าย เป็นไปได้ว่า McAfee และ Symantec ลดความแข็งแกร่งของการเข้ารหัสลงตามคำขอของทางการ ตัวอย่างเช่น โดยการลดคุณภาพของตัวสร้างตัวเลขสุ่มเทียม ความยาวคีย์ที่มีประสิทธิภาพ หรือแม้แต่การแนะนำบุ๊กมาร์กซอฟต์แวร์

ดังนั้นในปี 1999 การนำ GnuPG ไปใช้แบบโอเพ่นซอร์สจึงปรากฏขึ้น เชื่อกันว่า FSF อยู่เบื้องหลัง แต่ในความเป็นจริง GnuPG ได้รับการพัฒนาโดยบุคคลเพียงคนเดียว - โปรแกรมเมอร์ชาวเยอรมัน Werner Koch ซึ่งครั้งหนึ่งเคยประทับใจกับคำพูดของ Stallman และตัดสินใจที่จะสร้าง "PGP ที่เหมาะสมและเปิดกว้าง" ต่อมาเขาตั้งใจซ้ำแล้วซ้ำเล่าที่จะละทิ้งการสนับสนุน GnuPG แต่ในช่วงเวลาที่เด็ดขาด เขาก็พบแรงจูงใจใหม่ที่จะสานต่อ

ปัจจุบันโคช์สอายุ 53 ปี ว่างงานและเกือบจะยากจนหลายครั้งก่อนที่เขาจะระดมทุนได้มากกว่า 300,000 ดอลลาร์ผ่านแคมเปญระดมทุนต่างๆ เขาได้รับเงินจากมูลนิธิ Linux และ ผู้ใช้ทั่วไป̆ ให้ทุนแก่ Facebook และ Stripe - เพียงเพราะชะตากรรมของ GPGTools, Enigmail, Gpg4win และโครงการยอดนิยมอื่น ๆ อีกมากมายในโลกของซอฟต์แวร์โอเพ่นซอร์สขึ้นอยู่กับความปรารถนาของเขาที่จะพัฒนา GnuPG ต่อไป

ด้วยรากฐานที่สั่นคลอนเช่นนี้ มาตรฐาน OpenPGP ยังคงมีจุดอ่อนที่ทราบ เป็นการง่ายกว่าที่จะประกาศว่า "ไม่ใช่ข้อบกพร่อง แต่เป็นคุณลักษณะ" มากกว่าที่จะกำจัดพวกมัน ตัวอย่างเช่น มีเพียงวิธีเดียวในการตรวจสอบผู้ส่งข้อความที่เข้ารหัส - ลายเซ็นที่เข้ารหัส อย่างไรก็ตาม ใครๆ ก็สามารถตรวจสอบได้ด้วยกุญแจสาธารณะของผู้ส่ง (นั่นคือเหตุผลว่าทำไมผมถึงใช้ประโยค "เกือบ" เพื่อระบุถึงความปลอดภัยในการสกัดกั้นกุญแจสาธารณะ) ด้วยเหตุนี้ ลายเซ็น นอกเหนือจากการรับรองความถูกต้อง ยังทำให้ไม่จำเป็นต้องปฏิเสธข้อความเสมอไป

สิ่งนี้หมายความว่าอย่างไรในทางปฏิบัติ? ลองนึกภาพว่าคุณส่งข้อมูลที่น่าสนใจอีกชิ้นเกี่ยวกับเจ้าหน้าที่ระดับสูงของประเทศที่มีประชาธิปไตยอย่างเข้มแข็งให้ Assange จดหมายถูกดักจับ พบ IP แล้วพวกเขาก็มาหาคุณ แม้ว่าจะไม่เปิดเผยเนื้อหาของจดหมายที่เข้ารหัส แต่คุณก็ยังได้รับความสนใจจากการติดต่อกับบุคคลที่ติดตามมาเป็นเวลานาน จะไม่สามารถอ้างถึงการปลอมแปลงจดหมายหรือกลไกของเมลเวิร์มได้อีกต่อไป - ข้อความถูกเซ็นชื่อด้วยรหัสลับของคุณ หากไม่มีลายเซ็นเดียวกัน Assange จะไม่อ่านข้อความ โดยพิจารณาว่าเป็นข้อความปลอมหรือเป็นการยั่วยุ กลายเป็นวงจรอุบาทว์: ลายเซ็นเข้ารหัสทำให้ไม่สามารถปฏิเสธการประพันธ์จดหมายถึงบุคคลที่สามได้และหากไม่มีลายเซ็นคู่สนทนาเองก็ไม่สามารถรับประกันความถูกต้องของข้อความถึงกันและกันได้

ข้อเสียอีกประการหนึ่งของ PGP ก็คือข้อความที่เข้ารหัสนั้นมีลักษณะที่เป็นที่รู้จักมาก ดังนั้นการแลกเปลี่ยนจดหมายดังกล่าวจึงทำให้คู่สนทนามีความน่าสนใจในการให้บริการข่าวกรอง ตรวจพบได้ง่ายในการรับส่งข้อมูลเครือข่าย และมาตรฐาน OpenPGP ไม่อนุญาตให้ซ่อนทั้งผู้ส่งหรือผู้รับ เพื่อวัตถุประสงค์เหล่านี้พร้อมกับ PGP พวกเขากำลังพยายามใช้การปกปิดข้อมูลเป็นชั้นการป้องกันเพิ่มเติม แต่การกำหนดเส้นทางหัวหอมและวิธีการซ่อนไฟล์ในรูปแบบหนึ่งภายในอีกรูปแบบหนึ่งนั้นเต็มไปด้วยปัญหาที่ยังไม่ได้รับการแก้ไข นอกจากนี้ ระบบยังซับซ้อนเกินไป ซึ่งหมายความว่าระบบจะไม่ได้รับความนิยมและยังคงเสี่ยงต่อข้อผิดพลาดของมนุษย์

นอกจากนี้ PGP ไม่มีคุณสมบัติการรักษาความลับที่กำหนดไว้ล่วงหน้า และคีย์มักมี เงื่อนไขระยะยาวการกระทำ (โดยปกติจะเป็นหนึ่งปีหรือมากกว่านั้น) และไม่ค่อยเปลี่ยนแปลง ดังนั้น หากคีย์ลับถูกบุกรุก ก็สามารถถอดรหัสการติดต่อที่ถูกดักข้อมูลก่อนหน้านี้ได้ สิ่งนี้เกิดขึ้น เหนือสิ่งอื่นใด เนื่องจาก PGP ไม่ได้ป้องกันข้อผิดพลาดของมนุษย์ และไม่ได้ป้องกันการตอบกลับด้วยข้อความที่ชัดเจนต่อข้อความที่เข้ารหัส (แม้จะมีเครื่องหมายคำพูดก็ตาม) การมีข้อความที่เข้ารหัส ข้อความที่ถอดรหัส และคีย์สาธารณะ ทำให้การคำนวณข้อมูลลับที่จับคู่กับข้อความนั้นทำได้ง่ายกว่ามาก

เอส/ไมม์

หาก OpenPGP มีข้อบกพร่องพื้นฐานมากมาย จะมีทางเลือกอื่นหรือไม่? ใช่และไม่ใช่ ในขณะเดียวกัน มาตรฐานการเข้ารหัสเมลอื่นๆ กำลังได้รับการพัฒนา รวมถึงมาตรฐานที่ใช้กุญแจสาธารณะด้วย แต่สำหรับตอนนี้พวกเขากำลังขจัดข้อบกพร่องบางอย่างโดยแลกกับค่าใช้จ่ายของข้อบกพร่องอื่นๆ ตัวอย่างที่เด่นชัดคือ S/MIME (ส่วนขยายจดหมายทางอินเทอร์เน็ตที่ปลอดภัย/อเนกประสงค์) นับตั้งแต่เวอร์ชันที่สองซึ่งปรากฏในปี 1998 S/MIME ได้กลายเป็นมาตรฐานที่ยอมรับโดยทั่วไป ความนิยมที่แท้จริงมาถึงในอีกหนึ่งปีต่อมา เมื่อเวอร์ชันที่สามของ S/MIME เริ่มได้รับการสนับสนุนจากสิ่งนี้ จดหมายเช่น Microsoft Outlook (Express) และ Exchange

S/MIME ช่วยให้งานกระจายคีย์สาธารณะในสภาพแวดล้อมที่ไม่น่าเชื่อถือง่ายขึ้น เนื่องจากคอนเทนเนอร์สำหรับคีย์สาธารณะนั้นเป็นใบรับรองดิจิทัล ซึ่งโดยทั่วไปจะมีอย่างน้อยหนึ่งรายการ ลายเซ็นดิจิทัล. ด้วยการควบคุมอย่างหนักของ Microsoft แนวคิดสมัยใหม่ของการเข้ารหัสคีย์สาธารณะจึงมักถูกนำไปใช้ผ่านใบรับรองดิจิทัลและสายโซ่แห่งความไว้วางใจ ใบรับรองจะออกให้กับเอนทิตีเฉพาะและมีรหัสสาธารณะ ผู้ออกใบรับรองรับประกันความถูกต้องของใบรับรอง (โดยปกติจะเป็นเงิน) นั่นคือองค์กรที่ออกใบรับรองซึ่งในตอนแรกได้รับความไว้วางใจจากผู้เข้าร่วมทุกคนในการติดต่อทางจดหมาย ตัวอย่างเช่น อาจเป็น Thawte, VeriSign, Comodo หรืออื่นๆ บริษัทขนาดใหญ่- ใบรับรองที่ง่ายที่สุดที่ยืนยันเฉพาะที่อยู่อีเมลของคุณสามารถรับได้ฟรี

ตามทฤษฎีแล้ว ใบรับรองดิจิทัลจะช่วยแก้ปัญหาสองประการพร้อมกัน: ทำให้ง่ายต่อการค้นหาคีย์สาธารณะของผู้ใช้ที่ต้องการและตรวจสอบความถูกต้อง อย่างไรก็ตาม ในทางปฏิบัติ ยังมีช่องโหว่ร้ายแรงในกลไกใบรับรองที่เชื่อถือได้และมาตรฐาน S/MIME ที่สร้างเวกเตอร์การโจมตีเพิ่มเติมนอกเหนือจากที่เกี่ยวข้องกับ OpenPGP ดังนั้นในปี 2554 จึงมีการโจมตีหน่วยงานออกใบรับรอง DigiNotar และ Comodo ซึ่งส่งผลให้มีการออกใบรับรองปลอมหลายร้อยใบในนามของโหนดเครือข่ายที่ได้รับความนิยมสูงสุด: addons.mozilla.com, login.skype.com, login.yahoo.com, เมล google.com และอื่นๆ ต่อมาถูกใช้ในสถานการณ์การโจมตีต่างๆ รวมถึง MITM การส่งอีเมลฟิชชิ่ง และการกระจายมัลแวร์ที่ลงนามด้วยใบรับรองจากบริษัทที่มีชื่อเสียง

การเข้ารหัสเว็บเมลและไคลเอนต์มือถือ

ผู้คนจำนวนมากขึ้นเรื่อยๆ กำลังละทิ้งเดสก์ท็อป โปรแกรมรับส่งเมลเลือกที่จะทำงานกับเมลผ่านทางเว็บอินเตอร์เฟสหรือ แอปพลิเคชันมือถือ- นี่คือตัวเปลี่ยนเกมที่สมบูรณ์ ในด้านหนึ่ง ด้วยการเชื่อมต่อเว็บ การเข้ารหัสการเชื่อมต่อก็มีให้ผ่าน HTTPS แล้ว ในทางกลับกัน ผู้ใช้ไม่สามารถควบคุมได้ ฐานข้อมูลไปรษณีย์บนเซิร์ฟเวอร์และวิธีการส่งจดหมายจากมัน สิ่งที่คุณทำได้คือพึ่งพาชื่อเสียงของบริษัท ซึ่งโดยปกติจะมีตั้งแต่ทำให้มัวหมองเล็กน้อยไปจนถึงเปียกทั่วถึง

หลายๆ คนจำ Hushmail ซึ่งเป็นบริการอีเมลบนเว็บบริการแรกที่มีการเข้ารหัส OpenPGP ฝั่งเซิร์ฟเวอร์ได้ ฉันแน่ใจว่ายังมีคนใช้มันอยู่เมื่อพิจารณาว่าเชื่อถือได้ ท้ายที่สุดแล้ว จดหมายทั้งหมดจะถูกเก็บไว้ในเซิร์ฟเวอร์ที่ปลอดภัยของตัวเอง และส่งไปยังที่อยู่ภายนอกผ่านเซิร์ฟเวอร์อื่นที่รองรับ SSL เป็นเวลาเกือบสิบปีที่บริษัทยืนยันว่าเป็นไปไม่ได้ที่จะถอดรหัสอีเมลของลูกค้า อย่างไรก็ตาม ในปี 2550 Hushmail ถูกบังคับให้ยอมรับว่าเป็นเช่นนั้น ความเป็นไปได้ทางเทคนิคและจัดหาให้ตามคำร้องขอของเจ้าหน้าที่ และยังบันทึกที่อยู่ IP ของลูกค้าและรวบรวม "สถิติอื่น ๆ" เกี่ยวกับพวกเขา - โดยฉับพลัน เจ้าหน้าที่ผู้มีอำนาจมันจะถูกร้องขอ

อย่างไรก็ตาม ลงนรกด้วย Hushmail คนส่วนใหญ่ในปัจจุบันใช้ Gmail ซึ่งกำลังพัฒนาอย่างต่อเนื่อง “กระตือรือร้นมาก” Matthew Green ศาสตราจารย์ด้านการเข้ารหัสที่ Johns Hopkins University กล่าว - อีกไม่นานก็จะครบ 2 ปีแล้วนับตั้งแต่ Google สัญญาว่าจะดำเนินการ การเข้ารหัสจากต้นทางถึงปลายทางจดหมาย แล้วมันอยู่ที่ไหนล่ะ?

เป็นที่น่าแปลกใจว่า นอกจาก Google แล้ว เวลาที่ต่างกัน Yahoo, Microsoft และบริษัทอื่นๆ สัญญาว่าจะทำเช่นนี้ มีคำอธิบายที่ชัดเจนว่าทำไมบริษัทที่มีรายได้ต่อปีหลายพันล้านดอลลาร์จึงยังไม่ใช้การเข้ารหัสจากต้นทางถึงปลายทาง มันหมายถึงการทำ การดำเนินการเข้ารหัส̆ ในสภาพแวดล้อมที่เชื่อถือได้และการส่งข้อความผ่านโหนดที่ไม่น่าเชื่อถือในรูปแบบที่เข้ารหัสเท่านั้น แทบจะเป็นไปไม่ได้เลยที่จะดำเนินการนี้หากไม่มีการควบคุมอุปกรณ์

ปัญหาคือต้องทำการเข้ารหัสและถอดรหัสเมลให้สมบูรณ์ แพลตฟอร์มที่แตกต่างกัน- แต่ละคนมีช่องโหว่ของตัวเองที่ทำให้เป็นโมฆะ การป้องกันการเข้ารหัสระดับการใช้งาน ช่องโหว่ที่สำคัญยังคงไม่ได้รับการติดตั้งเป็นเวลาหลายเดือน ดังนั้นการเข้ารหัสตัวอักษรจะมีประโยชน์อะไรหากสำเนาของจดหมายเหล่านี้สามารถถูกขโมยอย่างลับๆ ในรูปแบบข้อความที่ชัดเจน เช่น จาก RAM หรือไฟล์ชั่วคราว

นี่คือวิธีที่ทีมแฮ็กชาวอิตาลีถูกแฮ็ก: ผู้โจมตีสามารถเข้าถึงคอมพิวเตอร์เครื่องใดเครื่องหนึ่งจากเครือข่ายท้องถิ่นของบริษัทจากระยะไกล จากนั้นเพียงรอให้พนักงานคนหนึ่งเปิดคอนเทนเนอร์ TrueCrypt พร้อมจดหมายโต้ตอบและเอกสารลับทั้งหมด หากไม่มีสภาพแวดล้อมที่เชื่อถือได้ ไม่ว่าคุณจะเข้ารหัสหรือไม่ คุณจะยังคงได้รับเพียงภาพลวงตาของการป้องกันเท่านั้น

แอปพลิเคชั่นสำหรับเข้ารหัสการติดต่อทางอีเมล

Mailvelope เป็นหนึ่งในส่วนขยายการเข้ารหัสอีเมลที่ทันสมัยที่สุด กูเกิลโครม- เราได้พูดคุยเกี่ยวกับเรื่องนี้ไปแล้วก่อนหน้านี้ และถึงแม้ตอนนั้นจะเป็นการพัฒนาคุณภาพสูงก็ตาม

การจัดการคีย์ใน Mailvelope

ส่วนขยายอื่น ๆ รับประกันฟังก์ชัน PGP ขั้นพื้นฐานในเบราว์เซอร์ แต่ส่วนขยายเหล่านี้เต็มไปด้วยข้อบกพร่องในตัวเอง ส่วนเสริมของ Pandor มีตรรกะการทำงานที่แปลก ตามการออกแบบ ผู้ใช้จะลงทะเบียนบนเว็บไซต์ pandor.me และสร้างคีย์ PGP ทั้งหมดจะถูกเก็บไว้บนเซิร์ฟเวอร์และใช้สำหรับการเข้ารหัสและถอดรหัสโดยอัตโนมัติ ไม่จำเป็นต้องแลกเปลี่ยนกุญแจ สะดวกสบาย? อาจจะ. อย่างไรก็ตาม ผู้ที่เสียสละความสะดวกสบายเพื่อความปลอดภัย กลับต้องสูญเสียทั้งสองอย่าง รหัสลับถูกเรียกเช่นนั้นด้วยเหตุผล และคู่ของคีย์สามารถสร้างได้อย่างปลอดภัยในเครื่องเท่านั้น

การเข้ารหัสเมลโดยใช้ Keybase.io

กุญแจสาธารณะไม่เพียงแต่สามารถส่งไปยังคู่สนทนาทุกคนด้วยตนเองเท่านั้น แต่ยังอัปโหลดไปยังเซิร์ฟเวอร์เฉพาะได้อีกด้วย ซึ่งจะทำให้ค้นหาและลงนามได้ง่ายขึ้น ซึ่งเป็นการขยายเครือข่ายความไว้วางใจ เราได้เขียนเกี่ยวกับหนึ่งในที่เก็บคีย์สาธารณะเหล่านี้แล้ว - Keybase.io หลังจาก เริ่มต้นอย่างรวดเร็วความสนใจในการพัฒนาเซิร์ฟเวอร์คีย์สาธารณะนี้ในหมู่นักพัฒนาได้จางหายไป พื้นที่เก็บข้อมูลนี้อยู่ในการทดสอบเบต้ามาเป็นเวลาสองปีแล้ว แต่ไม่ได้ป้องกันการใช้งาน

Keybase.io ไม่เพียงแต่ยืนยันความถูกต้องของกุญแจสาธารณะของคู่สนทนาและที่อยู่อีเมลของเขาเท่านั้น แต่ยังรวมถึง URL ของเว็บไซต์ส่วนตัวของเขาตลอดจนบัญชี Twitter และ GitHub ของผู้ใช้ด้วย หากมี กล่าวอีกนัยหนึ่งว่าหากคู่สนทนาของคุณอัปโหลดกุญแจสาธารณะไปที่ Keybase.io คุณจะพบพวกเขาที่นั่นพร้อมกับข้อมูลการติดต่อปัจจุบันเสมอ

คำตอบที่ตรงไปตรงมาสำหรับคำถามนี้คือ: “ใช่ แต่ไม่มี" เมื่อคุณเยี่ยมชมเว็บไซต์ส่วนใหญ่ แถบที่อยู่โปรโตคอล HTTP จะปรากฏขึ้น นี่คือการเชื่อมต่อที่ไม่ปลอดภัย หากคุณลงชื่อเข้าใช้บัญชีบริการอีเมลหลักรายการใดรายการหนึ่ง คุณจะเห็น HTTPS อยู่แล้ว สิ่งนี้บ่งบอกถึงการใช้โปรโตคอลการเข้ารหัส SSL และ TLS ซึ่งช่วยให้มั่นใจถึง "การเดินทาง" ที่ปลอดภัยของจดหมายจากหน้าต่างเบราว์เซอร์ไปยัง เมลเซิร์ฟเวอร์- อย่างไรก็ตาม สิ่งนี้ไม่ได้ให้สิ่งใดที่เกี่ยวข้องกับซึ่งมีผลบังคับใช้ในวันที่ 1 กรกฎาคม 2014 ยิ่งไปกว่านั้น ไม่มีอะไรปกป้องการติดต่อของคุณจากพนักงานไร้ยางอายของบริษัทบริการไปรษณีย์ การโจมตีของแฮ็กเกอร์ เซสชันเปิดบนคอมพิวเตอร์ของผู้อื่น การป้องกันที่ไม่ได้รับการป้องกัน จุดเชื่อมต่อ Wi-Fiเช่นเดียวกับข้อกำหนดใด ๆ ของบริการข่าวกรอง - ตอนนี้ - และแม้แต่บริการไปรษณีย์เองตามนโยบายความเป็นส่วนตัวของพวกเขาเอง

อีเมลทั้งหมดที่เข้ามา ออก หรือจัดเก็บไว้บนเซิร์ฟเวอร์ บริการไปรษณีย์อยู่ใน ตามที่คุณต้องการบริษัทที่เป็นเจ้าของ (เซิร์ฟเวอร์) ด้วยการรับรองความปลอดภัยในระหว่างการโอน บริษัทสามารถทำทุกอย่างที่ต้องการด้วยข้อความ เนื่องจากโดยพื้นฐานแล้ว บริษัทจะได้รับจดหมายเมื่อกำจัด ดังนั้นคุณคงได้แค่หวังถึงความซื่อสัตย์ของฝ่ายบริหารและพนักงาน (บริษัท) เท่านั้นและคุณไม่น่าจะสนใจใครเลยอย่างจริงจัง

เมื่อใช้เมลองค์กร การติดต่อสื่อสารจะได้รับการคุ้มครองโดยบริการไอทีซึ่งสามารถติดตั้งไฟร์วอลล์ที่เข้มงวดมากได้ และถึงกระนั้นสิ่งนี้ก็จะไม่ช่วยคุณหากพนักงานไร้ยางอาย "รั่วไหล" ข้อมูล มันเกี่ยวกับไม่จำเป็นต้องเกี่ยวกับ ผู้ดูแลระบบ- ผู้โจมตีจะต้อง "อยู่ข้างใน" เท่านั้น เครือข่ายองค์กร: ถ้าเขาจริงจังที่เหลือก็เรื่องของเทคนิค

มาเข้ารหัสกันเถอะ

การเข้ารหัสข้อความในจดหมายและไฟล์แนบอาจเพิ่มระดับการป้องกันอีเมลของคุณที่เข้าใจผิดได้ (สามารถวางไว้ในไฟล์เก็บถาวรด้วยรหัสผ่านได้ เช่น หากข้อความนั้นไม่มีข้อมูลที่เป็นความลับ แต่ไฟล์เก็บถาวรมี) . ในกรณีนี้คุณสามารถใช้ซอฟต์แวร์พิเศษได้

เนื้อความของตัวอักษรสามารถเข้ารหัสได้ด้วยโปรแกรมเข้ารหัสของบุคคลที่สาม ฉันขอทำซ้ำเล็กน้อยในแบบของฉันเอง บริการยอดนิยมที่สร้างโปรแกรมเข้ารหัสโดยเฉพาะคือ Gmail ส่วนขยาย SecureGmail ได้รับการติดตั้งใน Google Chrome ซึ่งรองรับการเข้ารหัสนี้หลังจากนั้นทุกอย่างก็ค่อนข้างง่าย - ป้อนรหัสผ่านสำหรับข้อความที่เข้ารหัสและคำถามคำใบ้เพื่อกู้คืน ข้อเสียเปรียบเพียงอย่างเดียวคือจำกัดเฉพาะ GoogleChrome เท่านั้น

มีตัวเข้ารหัสที่เหมาะสำหรับเมลออนไลน์เกือบทุกประเภทเช่น mail.ru, yandex.ru, Gmail.com - สำหรับบริการเมลทั้งหมดที่คุณสามารถเปิดในหน้าต่าง เบราว์เซอร์มอซซิลา- นี่คือส่วนขยายของการสื่อสารที่เข้ารหัส หลักการทำงานเหมือนกับ SecureGmail: หลังจากเขียนข้อความแล้ว ให้เลือกด้วยเมาส์ จากนั้นคลิกขวาและเลือก “เข้ารหัสโดยใช้การสื่อสารที่เข้ารหัส” จากนั้น ป้อนและยืนยันรหัสผ่านที่คุณและผู้รับทราบ โดยปกติแล้ว ไคลเอนต์ทั้งสองนี้จะต้องได้รับการติดตั้งทั้งบนผู้รับและผู้ส่ง และทั้งสองคนนี้จะต้องรู้รหัสผ่าน (เป็นที่น่าสังเกตว่าการส่งรหัสผ่านทางอีเมลเดียวกันจะเป็นการประมาทเลินเล่อ)

นอกจากปลั๊กอินสำหรับเบราว์เซอร์ที่คุณใช้เปิดเมลแล้ว ยังมีแอปพลิเคชันสำหรับไคลเอนต์เดสก์ท็อปที่สามารถใช้กับบริการเมลออนไลน์ได้ - PGP (Pretty Good Privacy) วิธีการนี้ดีเพราะใช้คีย์เข้ารหัสสองคีย์ - สาธารณะและส่วนตัว คุณยังสามารถใช้โปรแกรมจำนวนหนึ่งทั้งเข้ารหัสข้อมูลและเข้ารหัสข้อความตัวอักษร: DriveCrypt, Gpg4win, Gpg4usb, Comodo SecureEmail และอื่น ๆ

น่าเศร้าที่เทคโนโลยีการเข้ารหัสขั้นสูง ไม่ว่าจะใช้งานง่ายและสวยงามแค่ไหน แต่ก็ไม่ได้ช่วยอะไร ตัวอย่างเช่น มีการติดตั้งแบ็คดอร์บนคอมพิวเตอร์ของคุณ ซึ่งจะจับภาพหน้าจอและส่งไปยังเครือข่าย นั่นเป็นเหตุผล วิธีที่ดีที่สุดการเข้ารหัส - อย่าเขียนจดหมาย คำขวัญที่ว่า “เราต้องพบกันบ่อยขึ้น” นำมาซึ่งความหมายใหม่ในบริบทนี้

เราลดความเสี่ยงให้เหลือน้อยที่สุด

ตามที่ระบุไว้ข้างต้น วิธีที่เหมาะสมที่สุดในการเข้ารหัสคือการไม่เขียนตัวอักษร โดยส่วนใหญ่ คุณไม่ควรใช้บริการอีเมลฟรีสำหรับการติดต่อที่เกี่ยวข้องกับงาน โดยเฉพาะอย่างยิ่งหากคุณลงนามในข้อตกลงไม่เปิดเผยข้อมูล ความจริงก็คือหากข้อความของคุณถูกดักฟังจากอีเมลของบริษัท แผนกไอทีของบริษัทจะจัดการกับช่องว่างด้านความปลอดภัย มิฉะนั้นคุณจะต้องรับผิดชอบเป็นการส่วนตัว ข้อควรจำ: เมื่อใช้จดหมาย "ภายนอก" การติดต่อจะถึงบุคคลที่สามอย่างแน่นอน อย่างน้อยก็เป็นพนักงานของบริษัทที่ให้บริการไปรษณีย์ และพวกเขาไม่ได้ลงนามในข้อตกลงไม่เปิดเผยข้อมูลกับนายจ้างของคุณ

ถ้าคุณ บุคคลสำคัญภายในบริษัทห้ามส่งเอกสารสำคัญผ่านทาง ช่องเปิดหรือไม่ใช้อีเมลในการส่งแต่อย่างใด แต่ให้ใช้ จดหมายองค์กรและอย่าส่งมัน จดหมายสำคัญไปยังที่อยู่ของบริการไปรษณีย์ฟรี

ในกรณีอื่น ๆ ทั้งหมด เช่น เมื่อสรุปสัญญา การใช้อีเมลจะมีประโยชน์เนื่องจากข้อความอิเล็กทรอนิกส์ประกอบด้วยข้อเท็จจริงของข้อตกลงการทำงานของคุณและสามารถช่วยเหลือคุณได้ในอนาคต โปรดจำไว้ว่าการรั่วไหลของข้อมูลส่วนใหญ่ไม่ได้เกิดจากความผิดของแฮกเกอร์ แต่เกิดจาก “ปัจจัยมนุษย์” อาจเพียงพอสำหรับคุณที่จะใช้รหัสผ่านที่ซับซ้อน เปลี่ยนรหัสผ่านเป็นประจำ และป้องกันไม่ให้สูญหาย คุณควรจำไว้ว่าให้ปิดเซสชันของคุณบนคอมพิวเตอร์ของผู้อื่นและไม่ใช้งาน การเชื่อมต่อที่ไม่ปลอดภัยเมื่อทำงานผ่าน Wi-Fi ค่ะ สถานที่สาธารณะทำเครื่องหมายที่ช่องในการตั้งค่ากล่องจดหมาย "จดจำที่อยู่ IP ของฉัน" "ติดตามที่อยู่ IP จากเซสชันที่เปิด" "ป้องกันเซสชันแบบขนาน" และอย่าสร้างคำถามและคำตอบง่ายๆ เพื่อกู้คืนรหัสผ่านของคุณและไม่สูญหาย โทรศัพท์มือถือหากบัญชีของคุณเชื่อมโยงอยู่