Czy wysyłane wiadomości może ktoś niepożądany podejrzeć? Tak, jeśli nie zadbałeś o bezpieczeństwo wiadomości email. Twoje emaile mogą podejrzeć nie tylko przestępcy, ale również dostawcy połączenia internetowego lub skrzynki email. Niezaszyfrowane dane można wykorzystać przeciwko tobie, np. do kradzieży tożsamości, jako dowód w sprawie toczonej przez organy ścigania, czy do manipulacji tobą przez agencje reklamowe. Obecnie dostawcy skrzynek email domyślnie włączają szyfrowanie połączenia przez SSL lub TLS. Technologia TLS wypiera SSL w usługach email. Szyfrowanie połączenia to pierwszy krok do bezpieczeństwa danych.

Metody szyfrowania wiadomości email

Samo szyfrowanie połączenia jest niewystarczające. Wystarczy dostać się do twojej skrzynki lub serwera pocztowego, aby uzyskać dostęp do twoich informacji. Słyszałeś pewnie o „wyciekach” wiadomości email ze skrzynek polityków i innych znanych osób? Nie szyfrowali oni wiadomości email. Najbardziej znane i polecane drogi do szyfrowania wiadomości email to technologie: S/MIME oraz PGP/MIME. Możliwość szyfrowania może dawać dostawca usługi email (raczej nie tych bezpłatnych skrzynek) lub inny zintegrowany z twoją pocztą. Integracja tutaj ma duże znaczenie, bo jest warunkiem do uzyskania możliwości szyfrowania danych.

Najszybszą drogą do włączenia szyfrowania danych jest taka funkcja udostępniona przez dostawcę skrzynki email. Najczęściej będą to skrzynki przeznaczone dla biznesu lub takie, które stawiają na ochronę prywatności w Internecie. Gdy twoja skrzynka nie ma funkcji szyfrowania wiadomości email, skorzystaj z rozwiązań trzecich, które integrują się z twoją skrzynką za pomocą rozszerzenia w przeglądarce lub jako opcja w twojej aplikacji pocztowej.

Bezpieczeństwo emaila przez S/MIME

Ten sposób szyfrowania danych najczęściej wykorzystywany jest jako „pieczęć” nadawcy wiadomości email. S/MIME zabezpiecza wiadomość przed manipulacją treści przez niepowołane osoby. Gdy otrzymasz wiadomość email podpisaną certyfikatem S/MIME, to po zweryfikowaniu „pieczęci-podpisu” masz pewność że tego emaila wysłał nadawca i nikt pomiędzy nie był w stanie zmienić treści. Aby cyfrowo podpisywać wiadomości email, należy uzyskać cyfrowy certyfikat i zapisać go w ustawieniach S/MIME programu pocztowego lub innej aplikacji, która to umożliwia. Dodatkowo nadawca może zaszyfrować wiadomość, która będzie możliwa do odczytania tylko przez odbiorcę. Jednak do tego celu polecam bardziej bezpieczne - poziomu wojskowego - rozwiązanie PGP.

Szyfrowanie wiadomości email PGP

Technologia znana i dostępna jest od dekad bezpłatnie, mimo to nie zdobyła popularności. To najlepszy sposób szyfrowania danych wiadomości email. Mimo, że korzystanie z PGP jest stosunkowo proste, to jednak dla laika Internetu okazała się zbyt dużą przeszkodą, czego efektem jest słaba popularność tego rozwiązania.

PGP – Pretty Good Privacy (z ang. Całkiem Dobra Prywatność) bazuje na dwóch kluczach: prywatnym i publicznym. Klucz publiczny udostępniasz na swojej stronie internetowej, w bazie danych kluczy, nie jest on poufny. Klucz prywatny chronisz tak samo jak dostęp do twojego konta bankowego. Klucza prywatnego nie udostępniasz nikomu!

Aby wysłać zaszyfrowaną wiadomość PGP ładujesz publiczny klucz odbiorcy za pomocą którego wiadomość email jest szyfrowana. Odbiorca emaila rozszyfruje wiadomość za pomocą swojego, prywatnego klucza.

Zaszyfrowana wiadomość PGP może też posiadać cyfrowy podpis nadawcy jako dodatkowy element uwierzytelniający.

Podwójne uwierzytelnianie 2FA – zalety i wady
Podwójne uwierzytelnianie często wymaga podania dodatkowego, jednorazowego hasła, PINu, tokenu po podaniu loginu i hasła do konta użytkownika na danej stronie WWW.
logoTechnologie w Domu
Podwójne uwierzytelnianie 2FA – zalety i wady

Czy szyfrowanie PGP jest bezpieczne?

Jak każde rozwiązanie IT i PGP nie daje 100 proc. ochrony. Jednak jest ono chyba najbardziej bezpiecznym rozwiązaniem na ten czas. Ciekawostką jest to, że Edward Snowden, który upublicznił permanentną inwigilację społeczeństwa przez amerykańskie służby, używał PGP w kontaktach z dziennikarzami.

Jeśli zamierzasz wysyłać wrażliwe dane za pomocą wiadomości email, zawsze je szyfruj. Pamiętaj, że jeśli utracisz swój klucz prywatny, nie odczytasz już nigdy swoich zaszyfrowanych wiadomości.

Jak zrobić skrzynkę email w pełni prywatną?

Dostęp do twojej skrzynki email jest chroniony loginem, hasłem, czy uwierzytelnianiem typu 2FA. Same wiadomości email w skrzynce najczęściej nie są szyfrowane, oznacza to, że każdy kto ma do niej dostęp, ma również dostęp do wiadomości. Google regularnie skanuje twoją skrzynkę Gmail do celów marketingowych. Darmowe skrzynki email, w tym Gmail raczej nie są prywatne. Używaj skrzynek email dostawcy, który gwarantuje szyfrowanie wiadomości (i klucze do szyfrowania tylko ty posiadasz), albo samodzielnie szyfruj wiadomości email. Jeśli korespondujesz regularnie z osobami o bardzo ważnych sprawach, możecie wspólnie uruchomić szyfrowanie PGP.

Ile kosztuje szyfrowanie PGP i S/MIME?

Profesjonalny certyfikat S/MIME potwierdzający twoją tożsamość kosztuje. Cena zależy od certyfikatu i dostawcy certyfikatu. Certyfikat ma swoją ważność, którą przedłużasz płacąc za kolejny okres. Certyfikat S/MIME można zdobyć za darmo, ale wiarygodność jego jest żadna. Pod względem IT niczym nie ustępuje, ale nie ma tutaj miejsca weryfikacja tożsamości nadawcy. Najtańsze certyfikaty S/MIME weryfikują nadawcę tylko na podstawie adresu email. Droższe weryfikują również osobę lub organizację, co wymaga zaprezentowania dokumentów tożsamości lub rejestrowych firmy.

Klucze szyfrujące PGP możesz zdobyć za darmo i bez kompromisów w jakości szyfrowania. Użytkownicy systemu operacyjnego Linux lub Mac mają najprostszą drogę, wystarczy wpisać kilka linijek komend w terminalu . W Linuksie będzie to komenda: gpg –full-generate-key, potem kilka razy naciśnięcie “enter”, ewentualnie jeszcze podanie swoich danych osobowych i gotowe.

Użytkownicy Windows muszą poszukać dodatkowego oprogramowania lub rozszerzenia do swojego programu pocztowego. Aplikacja w Windows o nazwie „GPG4Win” to jedna z dróg na wygenerowanie kluczy PGP.

Klucze zdobędziesz również za pośrednictwem płatnych usług internetowych, które często oferują również uwierzytelnianie za pomocą podpisu cyfrowego.

P.S. Szyfrowanie wiadomości dotyczy jej treści. Metadane takie jak: tytuł, nadawca, odbiorca, data, drugi odbiorca nie są szyfrowane. Jeśli chcesz regularnie wysyłać wiadomości w pełni zaszyfrowane do wyznaczonych odbiorców zalecam użycie bezpiecznych komunikatorów z włączonym szyfrowaniem, np. Signal, Status.im, Session.