针对电子邮件的犯罪案件越来越多,用户在享受电子邮件快捷便利的服务同时还要承受邮件泄密带来的后果,有些邮件泄密后果并不严重、有些却是灾难性的。为了提高邮件信息的安全性,目前有效的方法是进行邮件加密,通过加密使邮件只能被指定的人进行浏览,确保邮件的安全。
电子邮件加密是隐藏电子邮件内容的过程,以防止不受欢迎的各方阅读。通过电子邮件发送时,社交安全号码、密码、登录凭据和银行帐号等敏感信息容易受到攻击。加密电子邮件时,一个好习惯是加密所有的邮件,而不仅仅是那些含有敏感信息的邮件。如果只有部分电子邮件是加密的,那么对于黑客来说仍然有机可乘,目标更明确可能会使您的收件箱更不安全。他们只需要破解其中一些电子邮件,而不必筛选数百封邮件来查找他们可以使用的数据。
什么是电子邮件加密?
电子邮件加密本质上是混淆电子邮件的内容,因此只有在获得了“钥匙”的情况下,才能解锁邮件内容。公钥基础结构(PKI)用于加密和解密电子邮件。每个用户都以数字代码的形式被分配一对公钥和私钥。
公钥与个人姓名和电子邮件地址一起存储在密钥服务器上,任何人都可以访问。此公钥用于加密电子邮件。如果有人想要向您发送包含敏感信息的电子邮件,他们会使用您的公钥对其进行加密,而私钥则用于解密电子邮件。私钥存储在个人计算机上安全且私密的地方,只有本人才能访问它。私钥还可用于以数字方式“签名”邮件,以便收件人知道它来自何人。
为什么电子邮件加密很重要?
电子邮件加密尤为重要,因为它可以尽可能地保护用户免受数据泄露。如果黑客因为加密而无法读取邮件信息,则他们无法对该信息进行任何操作。自 2013 年以来,已有超过 130 亿条数据记录丢失或被盗。2018 年数据泄露的平均损失为 386 万美元。自 2017 年以来,这一数字又增长了 6.4%。数据泄露代价高昂,而且长期来看,损失只会越来越大。在 2018 年,确定违规行为的平均时间为 197 天,修复漏洞地平均时间为 69 天。电子邮件加密是一种可以采取的预防措施,可以避免成为这些统计信息中地受害者。
史上最大电子邮件泄露事件
2017 年 8 月末,据英国《每日邮报》报道,澳大利亚计算机安全专家特洛伊•亨特近日透露,全球有高达 7.11 亿个电子邮件帐号,遭一个荷兰的电邮机器人 Onliner Spambot 利用散布含有银行木马程式的垃圾邮件而被窃取账号和密码,受害规模相当恐怖。这可能是迄今为止垃圾邮件程序带来的最大规模电邮信息泄露事件。
三种常见的邮件加密方式
第一种:利用对称加密算法加密邮件
对称加密算法是应用较早的加密算法,技术成熟。在对称加密算法中,数据发信方将明文(原始数据)和加密密钥一起经过特殊加密算法处理后,使其变成复杂的加密密文发送出去。收信方收到密文后,若想解读原文,则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密,才能使其恢复成可读明文。
如上文提及,在对称加密算法中,使用的密钥只有一个,发收信双方都使用这个密钥对数据进行加密和解密,这就要求解密方事先必须知道加密密钥。对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高。不足之处是,交易双方都使用同样钥匙,安全性得不到保证。利用对称密码算法对电子邮件进行加密,需要解决密码的传递,保存、交换。这种方式的邮件加密系统目前很少使用。
第二种:利用 PKI/CA 认证加密加密邮件
电子邮件加密系统目前大部分产品都是基于这种加密方式。PKI(Public Key Infrastructure)指的是公钥基础设施, CA(Certificate Authority)指的是认证中心。PKI 从技术上解决了网络通信安全的种种障碍;CA 从运营、管理、规范、法律、人员等多个角度来解决了网络信任问题。由此,人们统称为“PKI/CA”。从总体构架来看,PKI/CA 主要由最终用户、认证中心和注册机构来组成。
PKI/CA 的工作原理就是通过发放和维护数字证书来建立一套信任网络,在同一信任网络中的用户通过申请到的数字证书来完成身份认证和安全处理。注册中心负责审核证书申请者的真实身份,在审核通过后,负责将用户信息通过网络上传到认证中心,由认证中心负责最后的制证处理。证书的吊销、更新也需要由注册机构来提交给认证中心做处理。总的来说,认证中心是面向各注册中心的,而注册中心是面向最终用户的,注册机构是用户与认证中心的中间渠道。公钥证书的管理是个复杂的系统。
一个典型、完整、有效的 CA 系统至少应具有以下部分:
公钥密码证书管理;
黑名单的发布和管理;
密钥的备份和恢复;
自动更新密钥;
历史密钥管理;
支持交叉认证等等。
PKI/CA 认证体系相对成熟但应用于电子邮件加密系统时也存在着密匙管理复杂,需要先交换密匙才能进行加解密操作等,著名的电子邮件加密系统 PGP 就是采用这套加密流程进行加密。这种加密方法只适用于企业、单位和一些高端用户,由于 CA 证书获得麻烦,交换繁琐,因此这种电子邮件加密模式一直很难普及。
第三种:利用基于身份的密码技术进行电子邮件加密
为简化传统公钥密码系统的密钥管理问题,1984 年,以色列科学家、著名的 RSA 体制的发明者之一 A. Shamir 提出基于身份密码的思想:将用户公开的身份信息(如 e-mail 地址、IP 地址、名字等等)作为用户公钥,用户私钥由一个称为私钥生成者的可信中心生成。在随后的二十几年中,基于身份密码体制的设计成为密码学界的一个热门的研究领域。目前这种方式是最有希望实现电子邮件加密规模应用的方式。比较有代表性的国内有赛曼邮件天使系统。
便捷实际的加密操作
注:下面提到的加密方式不能代表对邮箱提供商也确保加密,需更好的加密请确保邮箱服务提供商的安全性。
以国内常用地 QQ 邮箱、126 邮箱、iOS 系统邮箱等为例,利用系统自带功能在实际发送邮件时进行加密操作。
QQ 邮箱
首先打开 QQ 邮箱的的登入页面,点击进入邮箱主页面。
点击写信,在收件人输入你的目标收信人,在主题输入邮件主题。
然后在发送邮件之前,下拉到邮件的底部,找到“其他选项”,点击打开,在里面选择对邮件加密,勾上。
之后会出现对话框,输入邮件加密密码。
系统提示这是一封加密邮件,点击发送就可以了。
在收件方打开邮件的时候就会提示输入密码。这样的话,除了知晓密码的寄件和收件双方,旁人无从查阅。
126 邮箱
同上述 QQ 邮箱的加密操作非常类似。登录到 126 邮箱后,点击“写信”添加一封新邮件。输入收件人帐号,输入邮件主题,上传附件并填写正文。
填好收件人、主题和正文后,点击写信页面下方的“更多选项”。
勾选“邮件加密”,输入加密的密码,根据需要勾选“在已发送邮件中保存密码”,然后点击“发送”即可,如下图:
收件人收到加密邮件后,需要输入密码才能查看,否则无法看到邮件正文,只能看到邮件标题。为了邮件的安全,请勿随意向别人透露密码。
如果发送时勾选了“在已发送邮件中保存密码”,那么在“已发送”文件夹中打开这封加密邮件,您可以查看到该邮件的密码。如果没有勾选,该密码将不会保存。(注:加密密码由 6 位的数字、字母组成,字母区分大小写。)
iOS 系统邮箱
在 iOS 的 Exchange 环境中使用 S/MIME 发送加密邮件,iOS 提供针对 S/MIME 的支持,因此可以发送加密电子邮件。这里以手机端 iOS 邮件为例。
要发送加密邮件,需要收件人的证书(公钥)。“邮件”会使用两种方法之一访问此证书,具体取决于收件人是否在发件人的 Exchange 环境中。
收件人处于 Exchange 环境中:
为帐户配置 S/MIME 时,可以在编写新邮件时选择“默认加密”。如果打开了“默认加密”偏好设置,仍然可以使用蓝色的锁图标对每封邮件进行加密:
如果收件人是位于同一 Exchange 环境中的用户,iOS 将查找邮件加密所需的证书,并查阅全域地址列表 (GAL) 和通讯录。 请注意未锁上的锁图标,这表示 Exchange 帐户启用了邮件加密功能。
“邮件”会查阅 GAL 以查找收件人的 S/MIME 证书。找到证书时,收件人的联系人姓名右侧会显示一个锁图标,且地址以蓝色高亮显示。请注意较大的蓝色锁图标,它可用于切换邮件的加密功能,从而让发件人轻松编写加密和未加密邮件。
如果添加了收件人而“邮件”无法找到相应证书,则该地址会以红色高亮显示,且收件人的地址右侧会显示一个打开的锁图标。邮件标示现在会显示已解锁和“无法加密”。
收件人处于 Exchange 环境之外:
如果目标收件人位于发件人的 Exchange 环境之外,或者不使用 Exchange 帐户,则必须在设备上安装收件人的证书。请按照以下步骤操作:
在目标收件人的签名邮件中,轻按发件人的地址。无效的签名会在发件人地址右侧显示一个红色问号。“邮件”通过发件人地址右侧的蓝色勾号标出有效的签名。
如果发件人的证书是由位于 Exchange 环境之外的未知证书机构颁发的,点击“显示证书”。
若要安装并信任发件人的签名证书,点击“安装”。“安装”按钮会变为红色并显示“移除”。轻按右上角的“完成”,完成证书安装过程。
iOS 会将此数字证书与收件人的电子邮件地址进行关联,从而允许邮件加密。
Gmail 邮箱
和往常一样打开 Gmail 撰写一封邮件,填上接受人之后保存到草稿箱。然后打开这个谷歌文档,点菜单上的“Gmail”、“Initialize”按钮让这份文档获得 Gmail 的授权。
点击 Gmail 菜单中的 Encrypt Gmail,选择要加密的草稿箱中的邮件,输入加密的密码,点 Send Email 发送,加密过的邮件已经躺在收件人的邮箱里了(如图):
解密过程:
把收到的邮件内容全部复制到剪贴版。然后打开 Decrypt Messages 把邮件内容贴进去,输入密码,点 Decrypt Message 就可以得到邮件内容了。
当然,如果不想通过谷歌文档给 Gmail 邮件加密的话,可以在_Decrypt Messages 中手动加密,然后贴到 Gmail 邮件正文里。除了这两种方法以外,另外还可以利用这两个工具通过其他的方式来给信息文件加密(Facebook、Outlook 等等)。
结语
采取预防措施,保护自己和企业免受网络安全威胁。在某些领域,如国防和金融,迫切需要能够满足各种保密级别的加密通信方案,包括对使用相当频繁的电子邮件通信进行加密。邮件传输安全是大众关注的安全问题之一,一份邮件可能包含了很多的机密,一旦被黑客窃取,那潜在的损失是不可想象的。
然而事实是,一般用户还没有意识到加密电子邮件通信的重要性,好的习惯需要慢慢养成。各位读者朋友们,上述的各种电子邮件加密小技巧,您都 get 到了吗?
Originally published at mottoin.com.
如果你喜欢这篇文章,欢迎为我「鼓掌」给我支持〔可以多拍几下喔〕,分享给其他人,也可以「Follow」我,让我们为你提供更多优质文章。