电子邮件加密
电子邮件加密是对电子邮件消息的加密,以保护内容不被预期收件人以外的实体读取。电子邮件加密还可以包括身份验证。
电子邮件易于泄露信息。大多数电子邮件在传输过程中都经过加密,但是以明文形式存储,使它们可以被电子邮件提供者或广告商等第三方读取。默认情况下,流行的电子邮件服务(例如Gmail和Outlook)不会启用端到端加密。[2]通过某些可用工具,指定收件人以外的其他人可以阅读电子邮件内容。
电子邮件加密可以依赖于公钥加密,其中用户可以每个发布一个公钥,其他人可以使用该公钥来加密给他们的消息,同时将可以用来解密此类消息或对其进行数字加密和签名的私有密钥保密发送。
加密协议
使用电子邮件协议的原始设计,电子邮件服务器之间的通信是纯文本,这带来了巨大的安全风险。多年来,已经提出了各种机制来加密电子邮件服务器之间的通信。加密可以在传输级别(也称为“逐跳”)或端到端进行。传输层加密通常更易于设置和使用。端到端加密提供了更强的防御能力,但可能更难以设置和使用。
设置和使用电子邮件加密
接收组织必须设置使用STARTTLS的传输层加密。这通常很简单;必须获得有效的证书,并且必须在接收组织的电子邮件服务器上启用STARTTLS。为了防止降级攻击,组织可以将其域发送到“ STARTTLS策略列表” 。
大多数功能齐全的电子邮件客户端都提供对S / MIME安全电子邮件的本机支持(使用证书的数字签名和消息加密)。其他加密选项包括PGP和GNU Privacy Guard(GnuPG)。还提供免费和商业软件(桌面应用程序、Webmail和附加组件)。
虽然PGP可以保护消息,但也很难以正确的方式使用它。卡内基·梅隆大学(Carnegie Mellon University)的研究人员在1999年发表了一篇论文,显示大多数人不知道如何使用当前版本的PGP对消息进行签名和加密。八年后,卡内基·梅隆大学的另一组研究人员发表了一份后续论文,尽管较新版本的PGP使得解密消息变得容易,但大多数人仍在加密和签名消息,查找和验证其他人的消息方面仍在努力。公共加密密钥,并共享自己的密钥。
由于用户可能难以进行加密,因此公司和政府机构的安全和合规经理通过使用使加密自动化的加密设备和服务,可以为员工和管理人员自动化该过程。基于定义的策略,自动加密不再依赖自愿合作,而是使决策和过程从用户手中掌握。电子邮件通过网关设备进行路由,该网关设备已配置为确保符合法规和安全策略。需要它的电子邮件将被自动加密并发送。
如果收件人在使用相同加密网关设备的组织中工作,则电子邮件将自动解密,从而使该过程对用户透明。不在加密网关后面的收件人则需要采取额外的步骤,要么获取公钥,要么登录到在线门户以检索消息。
