Šifrování e-mailů
Šifrovaní e-mailů je v informatice označení pro způsob šifrování e-mailových zpráv za účelem ochrany před tím, aby si obsah zprávy přečetl někdo jiný než zamýšlený příjemce. Šifrování e-mailů může zahrnovat také autentizaci.
Ohledně šifrování e-mailů je možné rozlišit dva základní koncepty:
- Jedním je šifrování komunikace mezi poštovními klienty a poštovními servery, ale na samotných serverech nijak chráněna není a například jejich správci si ji mohou přečíst
- Druhým je koncové šifrování, kdy odesílatel zašifruje zprávu tak, že ji může přečíst jen příjemce, a není čitelná ani pro správce serverů po cestě
Podrobnosti
E-mail často obsahuje důležitá data a je náchylný ke zneužití, protože proti tomu není nijak chráněn. Pomocí běžně dostupných nástrojů mohou neoprávněné osoby při vhodném přístupu ke klíčovým uzlům počítačové sítě číst přenášené e-maily. Šifrování e-mailů je používáno například novináři nebo jinými osobami, kterým záleží na jejich soukromí.
Šifrování e-mailů používá asymetrickou šifru s veřejným klíčem. Příjemce i odesílatel disponuje párem klíčů (privátní a veřejný). Veřejný klíč je možné bez rizika zveřejnit. Odesílatel zašifruje zprávu tzv. křížovou šifrou (použije svůj privátní klíč a příjemcův veřejný klíč). Příjemce použije na dešifrování veřejný klíč odesílatele a svůj privátní klíč. Pokud jsou privátní klíče udrženy v tajnosti a veřejné klíče ověřeny (např. důvěryhodnou třetí stranou), je možné nejen zaručit nejen nemožnost přečtení, ale i to, že se zprávou nebylo manipulováno a na základě přenosu důvěry z důvěryhodné třetí strany lze též ověřit autenticitu odesílatele.
Šifrovací protokoly
K šifrování e-mailové korespondence se používají následující protokoly koncového šifrování (seřazeno podle abecedy):
Pro ochranu komunikace mezi poštovními klienty a servery se nejčastěji používají různé varianty protokolu TLS.
Příklad
Experiment s názvem Signed and Encrypted e-mail Over The Internet ukázal, že organizace mohou efektivně využívat zabezpečení pomocí šifrovaného přenosu e-mailových zpráv. Předchozí překážky k přijetí této komunikace byly překonány, jako například použití PKI mostu, k poskytnutí škálovatelnosti infrastruktury veřejných klíčů a využití ochrany, která zajišťuje používání a hlídání správy klíčů uvnitř korporací.
Nastavení a používání šifrování e-mailů
Nejznámější e-mailoví klienti (jako je například Apple Mail, Microsoft Outlook nebo Mozilla Thunderbird) poskytují možnost nativní podpory pro zabezpečení e-mailu pomocí S/MIME (elektronický podpis a šifrování zprávy pomocí certifikátů). Další možnost zahrnuje šifrování PGP či GNU Privacy Guard (GnuPG), které používá síť důvěry.
Šifrovat e-maily lze i na chytrých mobilních telefonech pomocí e-mailového klienta K-9 mail s podporou aplikace OpenKeychain.
Volné a komerční softwary či add-ons softwary pro šifrování zpráv jsou k dispozici také, jako například Gpg4win nebo PGP Desktop e-mail, které podporují šifrovací typ OpenPGP. Pokud se rozhodnete využít právě šifrování PGP, může být obtížné ho správně použít. Vědci z Carnegie-Mellonovy univerzity vydali v roce 1999 referát, který ukazoval, že většina lidí nemůže přijít na to, jak se provádí podepisování a šifrování zpráv pomocí aktuální verze PGP. O osm let později další skupina výzkumníků Carnegie Mellon vydala dokument, který na dřívější studii navazoval a tvrdil, že i když novější verze PGP usnadnila dešifrování zpráv, většina lidí stále ještě bojovala s šifrováním a podepisováním zpráv, hledáním a ověřováním veřejného klíče a sdílením svého vlastního klíče.
Protože je šifrování pro uživatele složité, tak bezpečnostní manažeři společností a vládních organizací automatizovali proces šifrování zpráv. Místo spoléhání se na dobrovolnou asistenci uživatele s šifrováním, automatické šifrování na základě definovaných zásad zašifruje e-mailový obsah samo. E-maily jsou směřovány přes bránu, která byla nakonfigurována pomocí pravidel v souladu s bezpečnostními a regulačními pravidly. E-maily, které to potřebují, jsou automaticky zašifrovány a odeslány.
Pokud příjemce pracuje ve firmě, která používá stejnou šifrovací bránu, tak je e-mail automaticky dešifrován. Tento proces je proveden transparentně vůči uživateli. Příjemci, kteří nejsou za touto bránou, musí udělat krok navíc, buď si musí obstarat veřejný klíč nebo se musí přihlásit do internetového portálu pro získání zprávy.