Share
Vad du ska skapaFörhandsvisa bildmashup-kredit: E-mail Självförsvar - Free Software Foundation.
Detta är en fortlöpande episod i min handledning serie om e-post sekretess och säkerhet. Tidigare avsnitt beskriver en mängd olika sätt att kryptera och säkra ditt email. Det här avsnittet talar om hur vi som tekniker kan återuppbygga e-post för den digitala tiden.
Betydelsen av e-post-integritet slog hem för mig nyligen när jag mailade vänner om min hjärntumördiagnos. Det var inget enkelt sätt att få ordet ut utan att dela en mycket personlig anteckning med mailservrar för Gmail, Hotmail, Yahoo, Comcast och Apple (.me). Vilken som helst del av integriteten vid den tiden var rent illusorisk. De flesta e-postmeddelanden som jag bytte ut med vårdgivare under de följande veckorna skulle också vara mycket osäkra.
I stället för att diskutera hur e-post kan förbättras för att förbättra säkerheten, förklarar jag att det är fundamentalt brutet på sätt som vi behöver översyna för den moderna digitala kommunikationsåldern.
I den här handledningen beskriver jag hur e-postmeddelandet är trasigt och pratar om principerna för Apple Pay, företagets nya mobila betalningssystem, som skulle kunna användas för att bygga en modern meddelandestruktur som erbjuder end-to-end-säkerhet. Inte alla Apple Pays inspiration är teknisk; En del av sin största styrka ligger i att flytta tonvikten bort från företagsvinst och datainsamling och till att gynna konsumenterna snabbare, säkrare och mer privata transaktioner.
Tänk på att jag deltar i diskussionerna nedan. Om du har en fråga eller ett ämnesförslag, vänligen skriv en kommentar nedan. Du kan också meddela mig på Twitter @ reifman eller email direkt.
E-post privatliv och säkerhet är fundamentalt brutna. Den övervägande delen av e-postmeddelanden som vi skickar flyter runt Internet okrypterad som vanlig text.
I en skickar inte bara en e-post, skriver journalisten Quinn Norton:
[Email] har ingen nätverkssäkerhet utformad i det alls. Delvis beror det på att det vi använder för e-post var tänkt att vara en tillfällig åtgärd, ett stoppfält medan det verkliga protokollet utvecklades. Det var 1982. Det blev en liten uppdatering 2008, men e-post är fortfarande djupt osäker.
De flesta gratis webbmailleverantörer som Google tycker om sina användare som produkter som inte är människor. Gmail är gratis, så det kan lära oss så mycket om oss som möjligt för dess reklamverksamhet.
Om du använder en gemensam post värd som Googles, är allt ditt e-mail tillgängligt för det, dess interna analysmotorer och alla myndigheter med olaglig eller domstolsbehörig åtkomst. Utgående e-postmeddelanden som du har skickat till personer på andra posthanterare kan relativt enkelt återställas genom liknande övervakning eller åtkomst.
Din IP-adress är loggad när du har tillgång till och skickat meddelanden, vilket ger en del av din fysiska plats (om den inte redan är registrerad av din mobils tjänsteleverantörer).
Faktum är att bara tillgång till och skicka e-postmeddelanden med din telefon öppnar ytterligare angreppsvektorer: ditt mobilföretag, backupoperatör som iCloud eller tvångsövervakning i tullen under ett gränsstopp. Till exempel, tidigare i år, ringde en T-Mobile-representant mig för att svara på Un-truthful Carrier: Tio Mobile T-Mobile berättade för mig om min dataplan och skrämmade mig när han skingrade av de gemensamma domänerna jag åtminstone åtkomst till från och med min telefon.
Med tanke på dessa svagheter kan allt du skriver i ett mail troligt upptäckas för alltid. Och det finns inget sätt att veta om, när, hur och av vem din e-post har nått.
Vidare kan meddelanden ändras och fakas av bedrägerier (till exempel med en man i mittattack). E-post kan användas för att utsätta dig för phishing-attacker och leverera trojanska hästar. Som Norton säger, "E-post är en farlig sak".
Bildkredit E-mail Självförsvar - Free Software Foundation
Offentlig nyckelkryptering är fortfarande svårt att ställa in och använda. Även om du kan, kommer de flesta av de som du regelbundet mailar förmodligen inte att vara. Om du har läst mina handledning har du förmodligen insett det här just nu. Det är svårt att få våra vänner att börja använda det och svårt att använda rutinmässigt.
Även när det används korrekt, gör kryptering ingenting för att skydda identiteten hos de personer du skickar med, såvida de inte använder anonyma e-postadresser och loggar in med hjälp av en tjänst som TOR. Meddelandekuvert är fortfarande öppet.
Medan Apple Pay inte är ett meddelandesystem, ger det en konceptuell inspiration för ett säkrare e-postsystem. Här är några av de saker som det gör bra som vi kan lära av. Du kan läsa mer i Apple Pay Security och Privacy Overview.
Apple tog steg med Apple Pay för att förbättra våra liv, göra shopping snabbare, lättare och privat, utan att försöka maximera sin vinst. De utmanade status quo av de skrupelfria kreditkortsleverantörerna och gjorde det med konsumenten i åtanke. Det representerade ett skifte i utvecklingen av de typer av tjänster som utgör vardagen i vardagen.
Apple Pay tar ett balanserat och långsiktigt tillvägagångssätt för att omforma och distribuera betalningar och antyder hur en enda leverantör kan erbjuda en säker service till kundernas bästa.
Om vi tillämpar några av principerna för Apple Pay till ett sekretessinriktat e-postsystem, skulle det erbjuda liknande funktioner:
Visst finns det leverantörer som försöker flytta meddelanden i den här riktningen.
Våra tidigare episoder guidade dig genom att använda tillägg från tredje part för att kryptera meddelanden, till exempel GPG Tools, och Keybase, en framväxande publikkatalog med verifierbara nycklar. Och Whisper Systems Signal app tillhandahåller krypterade meddelanden och samtal.
Lavabit erbjöd en gång ett säkert e-postsystem som tillhandahöll ett antal av dessa funktioner, men grundaren stängde av den istället för att möta hotet om fullständig tillgång till staten. Silent Circle gjorde det lika bra.
Men nu är grundarna till dessa inspirerade integritetsorienterade postsystem tillbaka.
Dark Mail Alliance består av grundarna till dessa två företag, Silent Circle och Lavabit, som arbetar med att bygga ett säkert, privat e-postsystem som driver industrin för att stödja öppna standarder som ger gemensamma skydd för privatlivet över hela sektorn. Många av dem påminner om jag med Apple Pay.
För att få världen till vårt unika end-to-end krypterade protokoll och arkitektur som är "nästa generation" av privat och säkert e-post. Som grundande partner i The Dark Mail Technical Alliance arbetar både Silent Circle och Lavabit för att få andra medlemmar till alliansen, hjälpa dem att genomföra det nya protokollet och gemensamt arbeta för att sprida världens första end-to-end krypterade "Email 3.0" i hela världens e-postleverantörer. Vårt mål är att öppna källan protokollet och arkitekturen och hjälpa andra att genomföra denna nya teknik för att ta itu med integritetshänsyn mot övervakning och bakdörrsträngar av något slag.
Teamet verkar göra solid framsteg. Du kan läsa den detaljerade Internet Mail Environment Architecture and Specifications (pdf) där Levison ägnar sitt projekt till National Security Agency:
Och du kan titta på hans DEF CON 22-presentation på Dark Mail:
Nyligen rapporterade ZDNet att de första Dark Mail-leverantörerna snart kommer. Säger Levison, "eftersom så mycket tid har ägnats åt att utveckla protokollen för mörk post, kan någon annan ha större lycka med att använda öppen källkod och få den första e-postleverantören att få igång."
Apple Pay sätta ett prejudikat som gör rätt av konsumenterna det rätta att göra och förhoppningsvis kommer det att göra det mer troligt att andra företag öppet kommer att överväga att anta Dark Mail-support. För tillfället tittar vi och väntar-utan någon rutinmässig email-sekretess.
Var snäll och posta dina frågor och kommentarer nedan. Du kan också nå mig på Twitter @ reifman eller maila mig direkt. Du kan hitta mina andra handledning genom att bläddra på min Envato Tuts + instruktörssida.
Accentsconagua