Vorschaubild Mashup Gutschrift: E-Mail-Selbstverteidigung - die Free Software Foundation.
Dies ist eine fortlaufende Episode in meinem Tutorialserie zum Datenschutz und zur Sicherheit von E-Mails. In früheren Episoden werden verschiedene Möglichkeiten beschrieben, wie Sie Ihre E-Mails verschlüsseln und schützen können. Diese Episode wird darüber sprechen, wie wir als Technologen E-Mails für das digitale Zeitalter wiederherstellen können.
Die Bedeutung des Datenschutzes für E-Mails traf mich kürzlich, als ich Freunde über meine Gehirntumor-Diagnose per E-Mail benachrichtigte. Es gab keine einfache Möglichkeit, die Nachricht zu veröffentlichen, ohne eine sehr persönliche Nachricht mit Mail-Servern für Gmail, Hotmail, Yahoo, Comcast und Apple (.me) zu teilen. Jeder Anschein von Privatsphäre zu diesem Zeitpunkt war rein illusorisch. Die meisten E-Mails, die ich in den folgenden Wochen mit Gesundheitsdienstleistern ausgetauscht habe, wären ebenfalls äußerst unsicher.
Anstatt darüber zu diskutieren, wie E-Mail zur Verbesserung der Sicherheit verbessert werden kann, erkläre ich, dass sie grundlegend in einer Art und Weise beschädigt ist, die wir für das moderne Zeitalter der digitalen Kommunikation überarbeiten müssen.
In diesem Tutorial werde ich beschreiben, wie E-Mails gebrochen werden, und über die Prinzipien von Apple Pay, dem neuen mobilen Zahlungssystem des Unternehmens, sprechen, das zum Aufbau einer modernen Messaging-Infrastruktur mit durchgängiger Sicherheit verwendet werden kann. Nicht alle Inspirationen von Apple Pay sind technisch. Eine der größten Stärken liegt darin, den Schwerpunkt von Unternehmensgewinnen und Datenerhebungen zu verlagern und den Verbrauchern durch schnellere, sicherere und privatere Transaktionen zu helfen.
Denken Sie daran, ich nehme an den folgenden Diskussionen teil. Wenn Sie eine Frage oder ein Thema haben, schreiben Sie bitte einen Kommentar. Sie können mir auch eine Nachricht auf Twitter @reifman oder direkt per E-Mail senden.
Datenschutz und Sicherheit von E-Mails sind grundsätzlich gebrochen. Die überwiegende Mehrheit der E-Mails, die wir versenden, schweben unverschlüsselt als Klartext im Internet.
Der Journalist Quinn Norton schreibt nicht einfach eine E-Mail:
[Email] hat überhaupt keine Netzwerksicherheit. Dies liegt zum Teil daran, dass das, was wir für E-Mail verwenden, eine vorübergehende Maßnahme war, eine Zwischenstation, während das eigentliche Protokoll entwickelt wurde. Das war 1982. Es wurde 2008 ein kleines Update veröffentlicht, aber E-Mails bleiben zutiefst unsicher.
Die meisten kostenlosen Webmail-Dienstanbieter wie Google betrachten ihre Nutzer als Produkte und nicht als Menschen. Google Mail ist kostenlos und kann so viel über das Werbegeschäft von uns erfahren.
Wenn Sie einen normalen E-Mail-Host wie Google verwenden, können alle Ihre E-Mails, die internen Analyse-Engines und alle Regierungen, die illegalen oder gerichtlich genehmigten Zugriff haben, abgerufen werden. Ausgehende E-Mails, die Sie an andere E-Mail-Hosts gesendet haben, können durch ähnliche Überwachung oder Zugriff relativ leicht wiederhergestellt werden.
Ihre IP-Adresse wird protokolliert, wenn Sie auf Nachrichten zugreifen und Nachrichten senden, um einen Teil Ihres physischen Standorts anzuzeigen (falls dies nicht bereits von den Mobilfunkanbietern Ihres Mobiltelefons aufgezeichnet wurde)..
Der Zugriff auf E-Mails und das Versenden von E-Mails mit Ihrem Telefon eröffnen sogar zusätzliche Angriffsvektoren: Ihr Mobilfunkunternehmen, einen Backup-Anbieter wie iCloud oder eine Zwangsüberwachung im Zollbereich während eines Grenzstopps. Anfang des Jahres rief mich beispielsweise ein Vertreter von T-Mobile an, um auf Unwahrheitsbringer zu antworten: Zehn Lügen T-Mobile hat mich über meinen Datenplan informiert und verblüfft mich, als er beiläufig die gängigen Domänen abratterte, von denen aus ich auf Daten zugegriffen hatte mein Telefon.
In Anbetracht dieser Schwächen ist alles, was Sie in eine E-Mail schreiben, wahrscheinlich für immer auffindbar. Es gibt keine Möglichkeit zu wissen, wann, wie und von wem auf Ihre E-Mail zugegriffen wurde.
Außerdem können Nachrichten von Betrügern geändert und gefälscht werden (z. B. mit einem Mann im mittleren Angriff). E-Mails können verwendet werden, um Sie Phishing-Angriffen auszusetzen und Trojanische Pferde zu liefern. Wie Norton sagt, "Email ist eine gefährliche Sache."
Bildgutschrift E-Mail-Selbstverteidigung - die Free Software Foundation
Die Verschlüsselung mit öffentlichen Schlüsseln ist weiterhin recht schwierig einzurichten und zu verwenden. Selbst wenn Sie dazu in der Lage sind, werden die meisten Leute, die Sie regelmäßig per E-Mail senden, wahrscheinlich keine E-Mails schreiben. Wenn Sie meine Tutorials gelesen haben, haben Sie dies wahrscheinlich inzwischen erkannt. Es ist schwer, unsere Freunde dazu zu bewegen, es zu benutzen und routinemäßig zu verwenden.
Selbst bei ordnungsgemäßer Verwendung schützt die Verschlüsselung nicht die Identität der Personen, mit denen Sie E-Mails senden, es sei denn, sie verwenden anonyme E-Mail-Adressen und melden sich mit einem Dienst wie TOR an. Nachrichtenumschläge bleiben geöffnet.
Apple Pay ist zwar kein Messaging-System, bietet jedoch eine konzeptionelle Inspiration für ein sichereres E-Mail-System. Hier sind einige der Dinge, von denen wir gut lernen können. Weitere Informationen finden Sie in der Apple Pay-Übersicht über Sicherheit und Datenschutz.
Apple hat mit Apple Pay Schritte unternommen, um unser Leben zu verbessern und das Einkaufen schneller, einfacher und privater zu gestalten, ohne die Gewinne zu maximieren. Sie stellten den Status quo der skrupellosen Kreditkartenanbieter in Frage und taten dies mit Blick auf den Verbraucher. Es stellte eine Verschiebung in Richtung Entwicklung der Art von Dienstleistungen dar, die das tägliche Leben prägen.
Apple Pay verfolgt einen ausgewogenen, langfristigen Ansatz für die Neugestaltung und Bereitstellung von Zahlungen und weist darauf hin, wie ein einzelner Anbieter einen sicheren Service im besten Interesse seiner Kunden bieten kann.
Wenn wir einige Grundsätze von Apple Pay auf ein datenschutzorientiertes E-Mail-System anwenden, würde dies ähnliche Funktionen bieten:
Sicher gibt es Anbieter, die versuchen, das Messaging in diese Richtung zu verschieben.
In früheren Episoden wurden Sie durch die Verwendung von Add-Ons von Drittanbietern zum Verschlüsseln von Nachrichten wie GPG-Tools und Keybase geführt, einem aufstrebenden öffentlichen Verzeichnis mit überprüfbaren Schlüsseln. Die Signal-App von Whisper Systems bietet verschlüsselte Nachrichten und Anrufe.
Lavabit bot einmal ein sicheres E-Mail-System an, das eine Reihe dieser Funktionen bereitstellte. Der Gründer schloss das System jedoch eher ab, als drohte der vollständige Zugang der Regierung. Ähnlich hat es Silent Circle getan.
Aber jetzt sind die Gründer dieser inspirierten, auf Privatsphäre ausgerichteten Mail-Systeme zurück.
Die Dark Mail Alliance besteht aus den Gründern dieser beiden Unternehmen, Silent Circle und Lavabit, und bemüht sich, ein sicheres, privates E-Mail-System aufzubauen, das die Branche dazu drängt, offene Standards zu unterstützen, die in der gesamten Branche einen einheitlichen Schutz der Privatsphäre bieten ich von Apple Pay.
Um der Welt unser einzigartiges Ende-zu-Ende-verschlüsseltes Protokoll und eine einzigartige Architektur zu bieten, die die nächste Generation privater und sicherer E-Mails ist. Als Gründungspartner von The Dark Mail Technical Alliance werden sowohl Silent Circle als auch Lavabit daran arbeiten, andere Mitglieder in die Allianz einzubeziehen, sie bei der Umsetzung des neuen Protokolls zu unterstützen und gemeinsam daran zu arbeiten, die weltweit erste durchgängige verschlüsselte "E-Mail 3.0" zu verbreiten. auf der ganzen Welt E-Mail-Anbieter. Unser Ziel ist es, das Protokoll und die Architektur zu öffnen und anderen dabei zu helfen, diese neue Technologie zu implementieren, um Datenschutzbedenken gegen Überwachungs- und Hintertürbedrohungen jeglicher Art zu lösen.
Das Team scheint solide Fortschritte zu machen. Sie können die detaillierte Architektur und Spezifikationen der Internet-Mail-Umgebung (pdf) lesen, in der Levison sein Projekt der National Security Agency widmet:
Und Sie können seine DEF CON 22-Präsentation auf Dark Mail anschauen:
Vor kurzem berichtete ZDNet, dass die ersten Dark Mail-Anbieter bald verfügbar sind. Levison: "Da so viel Zeit für die Entwicklung der Dark-Mail-Protokolle aufgewendet wurde, könnte es für andere wahrscheinlich besser sein, den Open-Source-Code zu verwenden und den ersten Dark-Mail-E-Mail-Anbieter in Betrieb zu nehmen."
Apple Pay hat einen Präzedenzfall geschaffen, dass es richtig ist, von den Verbrauchern richtig zu handeln, und hoffentlich wird es wahrscheinlicher, dass andere Unternehmen offen über den Einsatz von Dark Mail-Support nachdenken. Vorerst schauen und warten wir ohne routinemäßige E-Mail-Privatsphäre.
Bitte zögern Sie nicht, unten Ihre Fragen und Kommentare zu posten. Sie können mich auch auf Twitter @reifman erreichen oder mich direkt per E-Mail kontaktieren. Meine anderen Tutorials finden Sie auf meiner Envato Tuts + Instructor-Seite.