Varför ingen använder krypterade e-postmeddelanden
Med så mycket oro över statlig övervakning, företagsspionage och vardaglig identitetsstöld, kan det verka förvånande att så få människor använder krypterade e-postmeddelanden. Försök använda krypterad e-post och det är svårt och komplicerat att använda.
Krypterade e-postmeddelanden är huvudvärk att hantera. Du kanske kan hantera komplexiteten, men de människor du vill kommunicera med måste också hantera det.
Kryptera dina egna e-postmeddelanden mot krypterade e-posttjänster
Vi gör en åtskillnad mellan två typer av e-kryptering här. Det finns några tjänster som hävdar att erbjuda enklare krypterade e-postmeddelanden. De kommer att hantera krypteringen för dig i slutet, med all störning att hantera krypteringsnycklar ur dina händer. Om du skickar krypterade e-postmeddelanden mellan två konton med samma tjänst, kommer de krypterade e-postmeddelandena att vara säkra i själva tjänsten.
Det verkar frestande, men det öppnar en stor svaghet. Du litar på tjänsten för att hantera din kryptering, och tjänster som Lavabit har tvingats av regeringar att tillåta åtkomst till sina kunders krypterade e-postmeddelanden. Den amerikanska regeringen krävde även Lavabit egna privata nycklar, vilket gav dem tillgång till alla kunders krypterade e-postmeddelanden.
Om du verkligen vill kommunicera privat och säkert, vill du själv hantera e-postkryptering. Det innebär att du skapar egna krypteringsnycklar och skyddar dem istället för att lagra dem med en krypterad e-posttjänst.
Hur E-postkryptering fungerar
Vi tänker typiskt på PGP-kryptering när vi tänker på krypterad e-post, men det finns andra standarder som S / MIME-krypteringsfunktionen inbyggd i Microsoft Outlook. När du använder PGP har du en offentlig nyckel och en privat nyckel. Du ger den offentliga nyckeln till personer som vill maila dig. De använder den offentliga nyckeln för att kryptera deras e-postmeddelanden, och du kan bara dekryptera deras email med din privata nyckel. Så, för att använda PGP måste du skapa ett offentligt / privat nyckelpar, behålla din privata nyckel och ge din offentliga nyckel till den som vill maila dig. Den person du kommunicerar med måste också förstå hur man krypterar, skickar, tar emot och dekrypterar krypterade e-postmeddelanden och behöver eget nyckelpar.
Innehållet i e-postmeddelandet visas som slumpmässigt, precis som innehållet i en krypterad fil visas som osynlig meningslös data tills filen dekrypteras.
Observera att mycket av ett e-postmeddelande är osäkert, även om du använder krypterat e-postmeddelande. Ämnesrad, Till och Från fält skickas vanligen okrypterade, så övervakningsorgan som övervakar Internettrafik kan övervaka vem som kommunicerar med vem och även se varje e-posts ämne. E-post kryptering är en patch ovanpå ett okrypterat system, krypterar endast meddelandekroppen.
Hur du verkligen använder krypterad e-post
Tänk aldrig teorin. Så här använder du verkligen krypterad e-post.
De flesta brukar använda webbaserade e-posttjänster som Gmail, Outlook.com och Yahoo! Post. Dessa tjänster har inte den här funktionen integrerad (även om Google ryktas att de arbetar med PGP-krypteringsintegration i Gmail). Du måste använda en webbläsareutvidgning för att göra det här. Mailvelope verkar fungera och erbjuder PGP-support som fungerar på webbmailsidor som Gmail. Du behöver den installerad i din webbläsare för att kunna använda kryptering via e-post.
Den här funktionen är inte integrerad i tillhörande mobilappar. Visst kan du få tillgång till det krypterade e-postmeddelandet i din webbläsare med en anknytning, men hur läser du den på din smartphone? Du behöver en dedikerad app för att göra det - du kan inte bara använda Gmail-appen eller den standarda e-postappen som ingår i telefonen. K-9 Mail erbjuder PGP-stöd på Android om du till exempel har APG installerat.
Saker är komplicerade även när det gäller desktop e-postklienter som borde kunna integrera detta bättre. Till exempel har Microsoft Outlook en inbyggd funktion för att digitalt signera och kryptera e-postmeddelanden, men det använder S / MIME och är inte kompatibel med PGP.
Det mest populära verktyget för att kryptera e-post med är Enigmail-förlängningen för Mozilla Thunderbird. Mozilla har slutat utveckla Thunderbird och kan avbryta det en dag, så det här är knappast en idealisk lösning. Enigmail-förlängningen integrerar OpenPGP i Thunderbirds stationära e-postklient, vilket ger dig nyckelgenerering, kryptering och dekrypteringsalternativ som du behöver. Du måste installera GNU Privacy Guard (GnuPG) programvaran separat.
Du kan bara använda krypterade e-postmeddelanden i en klient som stöder PGP. Även när du använder Thunderbird måste du överväga vad du ska göra om du behöver komma åt dessa e-postmeddelanden i en webbläsare, på din smartphone, på din surfplatta eller på något system utan din privata nyckel.
Problemen med krypterad e-post
Här är en snabb sammanfattning av vad du upplever när du använder krypterat e-postmeddelande:
- Du måste förstå hur offentlig-privat nyckelkryptering fungerar, skapa ett nyckelpar och ge din offentliga nyckel till den person du vill kommunicera med.
- Andra människor du vill kommunicera med behöver också förstå och göra alla dessa saker.
- Båda människor måste hålla sina privata nycklar säkra så att de inte blir äventyrade eller förlorade - i så fall skulle du förlora åtkomst till e-postmeddelandena. Du måste också hålla ditt återkallningsintyg eftersom det kan ogiltiggöra din allmänna nyckel om du någonsin förlorar din privata nyckel.
- Dina privata nycklar måste krypteras med ett säkert lösenfras som du måste komma ihåg, vilket är skilt från ditt lösenord för e-postkontot.
- Du måste se till att du använder samma e-postkrypteringsstandard, om det är PGP eller S / MIME eller någon annan standard.
- Du behöver använda en tredjepartslösning - antingen en webbläsareförlängning, smartphone-app eller e-postklientplugin. Om du väljer det bäst stödda alternativet måste du installera en e-postklient, en förlängning och ett krypteringsprogram paket separat.
- Du behöver en blandning av olika smartphone-appar och stationära lösningar om du vill komma åt dina e-postmeddelanden på alla dina enheter.
- Även om du gör alla dessa saker kommer människor fortfarande att kunna se vem du kommunicerar med och vilka ämnena i dina meddelanden är.
Med all denna komplexitet - och så mycket information läcker ut även om du använder PGP ordentligt - är det inte konstigt att krypterad email används så lite. Det är inte heller någon överraskning att människor väljer att använda tjänster som Lavabit som verkar vara ett bekvämt sätt att göra kryptering lätt att använda, men är faktiskt mycket mindre tillförlitliga än att kryptera dina egna e-postmeddelanden.