Voorbeeldmashup-tegoed bekijken: Email Self Defense - de Free Software Foundation.
Dit is een doorlopende aflevering in mijn tutorialseries over e-mailprivacy en -beveiliging. In eerdere afleveringen worden verschillende manieren beschreven om uw e-mail te coderen en te beveiligen. Deze aflevering gaat in op hoe wij als technologen e-mail voor het digitale tijdperk kunnen herbouwen.
Het belang van e-mailprivacy trof me onlangs omdat ik vrienden over mijn hersentumordiagnostiek mailde. Er was geen gemakkelijke manier om het woord te weten te komen zonder een heel persoonlijke noot te delen met mailservers voor Gmail, Hotmail, Yahoo, Comcast en Apple (.me). Elke schijn van privacy op dat moment was puur illusoir. De meeste e-mails die ik de komende weken met zorgverleners heb uitgewisseld, zouden ook zeer onveilig zijn.
In plaats van te bespreken hoe e-mail kan worden verbeterd om de beveiliging te verbeteren, verklaar ik dat deze fundamenteel is verbroken op manieren die we moeten herzien voor het moderne digitale communicatietijdperk..
In deze zelfstudie zal ik beschrijven hoe e-mails kapot zijn en praten over de principes van Apple Pay, het nieuwe mobiele betalingssysteem van het bedrijf, dat zou kunnen worden toegepast om een moderne berichteninfrastructuur te bouwen die end-to-end beveiliging biedt. Niet alle inspiratie van Apple Pay is technisch; Een van de grootste voordelen ligt in het verleggen van de nadruk van bedrijfsresultaten en gegevensverzameling en in het voordeel van consumenten met snellere, veiligere, meer private transacties..
Houd in gedachten dat ik wel deelneem aan de onderstaande discussies. Als je een vraag of een suggestie voor een onderwerp hebt, plaats dan een commentaar hieronder. Je kunt me ook een bericht sturen op Twitter @reifman of rechtstreeks e-mailen.
E-mailprivacy en -beveiliging zijn fundamenteel gebroken. De overgrote meerderheid van de e-mails die we verzenden, wordt onversleuteld rond het internet als platte tekst weergegeven.
In One verstuurt niet zomaar een e-mail, journalist Quinn Norton schrijft:
[Email] heeft helemaal geen netwerkbeveiliging erin opgenomen. Deels komt dit omdat wat we gebruiken voor e-mail bedoeld was als tijdelijke maatregel, een noodoplossing terwijl het echte protocol werd ontwikkeld. Dat was 1982. Het kreeg een kleine update in 2008, maar e-mail blijft diep onzeker.
De meeste gratis webmailserviceproviders zoals Google zien hun gebruikers als producten en niet als mensen. Gmail is gratis, zodat het zo veel over ons kan leren als het kan voor zijn reclamebusiness.
Als u een gewone e-mailhost zoals Google gebruikt, is al uw e-mail toegankelijk, zijn interne analyse-engines en elke overheid met illegale of door de rechter goedgekeurde toegang. Uitgaande e-mails die u naar mensen van andere e-mailhosts hebt verzonden, kunnen relatief gemakkelijk worden hersteld via vergelijkbare bewaking of toegang.
Uw IP-adres wordt vastgelegd terwijl u berichten opent en verzendt, waarbij een gedeeltelijk spoor van uw fysieke locatie wordt weergegeven (als dat nog niet is vastgelegd door de serviceproviders van uw mobiele telefoon).
In feite opent gewoon het openen en verzenden van e-mails met je telefoon extra aanvalsvectoren: je mobiele telefoonbedrijf, back-upprovider zoals iCloud of gedwongen bewaking in de douane tijdens een grensstop. Eerder dit jaar riep een vertegenwoordiger van T-Mobile me op om te reageren op Un-truthful Carrier: Ten Lies T-Mobile vertelde me over mijn gegevensplan en schrok me terwijl hij terloops ratelde van de gemeenschappelijke domeinen waartoe ik toegang kreeg tot gegevens van mijn telefoon.
Gezien deze zwakke punten is alles wat u in een e-mail schrijft waarschijnlijk voor altijd te vinden. En er is geen manier om te weten of, wanneer, hoe en door wie uw e-mail is geopend.
Bovendien kunnen berichten worden gewijzigd en vervalst door bedriegers (zoals met een man in de middelste aanval). E-mail kan worden gebruikt om u te onderwerpen aan phishing-aanvallen en trojan horses af te leveren. Zoals Norton zegt: "Email is gevaarlijk."
Afbeelding tegoed Email Self Defense - de Free Software Foundation
Public-key-codering blijft vrij moeilijk in te stellen en te gebruiken. Zelfs als het je lukt, zullen de meeste mensen die je regelmatig e-mailt, waarschijnlijk niet zijn. Als je mijn tutorials hebt gelezen, heb je dit waarschijnlijk al wel begrepen. Het is moeilijk om onze vrienden het te laten gebruiken en het is moeilijk om routinematig te gebruiken.
Zelfs als correct wordt gebruikt, beschermt codering niets om de identiteit te beschermen van de mensen met wie u e-mailt, tenzij ze anonieme e-mailadressen gebruiken en inloggen met een service zoals TOR. Berichtenveloppen blijven open.
Hoewel Apple Pay geen berichtensysteem is, biedt het een conceptuele inspiratie voor een veiliger e-mailsysteem. Hier zijn enkele dingen waar het goed in is, waar we van kunnen leren. U kunt meer lezen in het Apple Pay-beveiligings- en privacyoverzicht.
Apple ondernam stappen met Apple Pay om ons leven te verbeteren, winkelen sneller, gemakkelijker en privé te maken, zonder te proberen de winst te maximaliseren. Ze daagden de status-quo van de gewetenloze creditcardaanbieders uit en deden dit met de consument in gedachten. Het vertegenwoordigde een verschuiving in de richting van de ontwikkeling van de soorten diensten die het weefsel van ons dagelijks leven vormen.
Apple Pay neemt een uitgebalanceerde, langetermijnaanpak voor het herontwerpen en inzetten van betalingen, waarbij wordt gesuggereerd hoe een enkele provider een veilige service kan bieden in het belang van zijn klanten.
Als we enkele van de principes van Apple Pay toepassen op een op privacy gericht e-mailsysteem, zou het vergelijkbare functies bieden:
Zeker, er zijn providers die berichten in deze richting proberen te verplaatsen.
Onze eerdere afleveringen hebben je begeleid bij het gebruik van add-ons van derden om berichten te versleutelen, zoals GPG Tools en Keybase, een opkomende openbare map met verifieerbare sleutels. En de signaalapp van Whisper Systems biedt gecodeerde berichten en oproepen.
Lavabit bood ooit een beveiligd e-mailsysteem aan dat een aantal van deze functies bood, maar de oprichter sloot het af in plaats van het gevaar van volledige overheidstoegang te aanvaarden. Silent Circle deed dat ook.
Maar nu zijn de oprichters van deze geïnspireerde, op privacy gerichte mailsystemen terug.
The Dark Mail Alliance bestaat uit de oprichters van deze twee bedrijven, Silent Circle en Lavabit, die zich inspant om een veilig privé-e-mailsysteem te bouwen dat de industrie ertoe aanzet open standaarden te ondersteunen die algemene privacybescherming bieden in de hele sector, waarvan er veel aan herinneren mij van Apple Pay.
Om de wereld ons unieke end-to-end gecodeerde protocol en architectuur te bieden die de 'volgende generatie' is van privé- en beveiligde e-mail. Als stichtende partners van The Dark Mail Technical Alliance werken Silent Circle en Lavabit samen om andere leden in de alliantie te brengen, hen te helpen bij de implementatie van het nieuwe protocol en samen te werken om 's werelds eerste end-to-end versleutelde' Email 3.0 'te verspreiden overal ter wereld e-mailproviders. Ons doel is om het protocol en de architectuur open source te maken en anderen te helpen deze nieuwe technologie te implementeren om privacykwesties tegen alle vormen van surveillance en back-endbedreigingen aan te pakken.
Het team lijkt goede vorderingen te maken. U kunt de gedetailleerde Internet Mail Environment Architecture and Specifications (pdf) lezen waarin Levison zijn project opdraagt aan de National Security Agency:
En je kunt zijn DEF CON 22-presentatie bekijken op Dark Mail:
Onlangs meldde ZDNet dat de eerste Dark Mail-providers binnenkort beschikbaar zijn. Levison zegt: "Omdat er zoveel tijd is besteed aan de ontwikkeling van de dark mail-protocollen, kan iemand anders meer geluk hebben door de open-sourcecode te gebruiken en de eerste dark mail-e-mailprovider in gebruik te nemen."
Apple Pay heeft een precedent geschapen dat goed handelen door consumenten het juiste is om te doen en hopelijk zal het waarschijnlijker maken dat andere bedrijven openlijk overwegen om Dark Mail-ondersteuning aan te nemen. Voor nu kijken en wachten we - zonder enige routineuze e-mailprivacy.
Aarzel niet om uw vragen en opmerkingen hieronder te plaatsen. Je kunt me ook bereiken via Twitter @reifman of mij rechtstreeks een e-mail sturen. Je kunt mijn andere tutorials vinden door te bladeren op mijn Envato Tuts + instructeurspagina.