Шифрование электронной почты: как PGP защищает содержимое ваших писем

Хотя сегодня значительная часть интернет-общения происходит в социальных сетях и мессенджерах, электронная почта все еще не теряет своей актуальности. Электронная почта обычно предпочтительнее чатов, когда речь идет о конфиденциальной информации, такой как детали контракта, банковские реквизиты и т.д. Во многих компаниях обмен сообщениями по электронной почте является обычной частью повседневной работы. Естественно, компании хотят защитить эту конфиденциальную информацию и не дать другим людям прочитать содержимое отправленных ими электронных писем. Если электронное письмо отправлено открытым текстом, преступники могут завладеть конфиденциальными данными пользователя, равно как и посторонние глаза, охотящиеся за любой полезной информацией, которую они могут найти и использовать. Чтобы никто из посторонних не смог прочитать содержимое ваших сообщений, необходимо любой ценой обеспечить шифрование электронной почты.

Шифрование PGP является отличным средством защиты информации и шифрования содержимого ваших электронных писем. PGP (pretty good privacy) был первоначально разработан в 1991 году Филом Циммерманом как программа для шифрования электронной почты. За прошедшие годы PGP стало общепринятым названием этого метода шифрования.

Шифрование PGP основано на протоколе с открытым ключом, где используется назначенная пара ключей (состоящая из открытого и закрытого ключа). Открытый ключ доступен потенциальным контактам по электронной почте, поскольку он непосредственно передается или загружается на внешний сервер ключей. Этот ключ позволяет вашим контактам шифровать все электронные письма, которые они вам отправляют. Закрытый ключ может быть доступен только вам и обычно защищен паролем. Он позволяет расшифровывать полученные электронные письма, которые были зашифрованы с помощью открытого ключа. Человек, с которым вы общаетесь, также должен использовать PGP и предоставить вам доступ к своему открытому ключу, чтобы вы могли безопасно общаться. Протокол с открытым ключом описывается как асимметричная процедура, поскольку две участвующие стороны используют разные ключи. Использование подписей еще больше гарантирует подлинность ваших сообщений.

Защита электронной почты с помощью PGP может показаться на первый взгляд сложной задачей, но для этого достаточно найти бесплатную или недорогую программу PGP и установить ее. В процессе установки будет автоматически сгенерирована пара ключей, но все остальное — ответственность пользователя. Закрытый ключ хранится на собственном сервере, в то время как открытый ключ загружается на внешний сервер (например, на веб-сервер) или отправляется по электронной почте непосредственно контактам. Этого все равно недостаточно, поскольку соответствующие контакты также должны получить доступ к PGP-шифрованию и отправить вам свой открытый ключ. Проверка достоверности полученных ключей и управление собственным ключом — это ваша обязанность, поэтому играйте в безопасность и шифруйте свои электронные письма с помощью PGP.

Необходимые для установки шаги иногда отпугивают менее опытных пользователей от этого типа шифрования электронной почты. За последние несколько лет были разработаны новые плагины, такие как OutlookPrivacyPlugin и Mailvelope, чтобы сделать защищенную электронную почту доступной для более широкой аудитории. Их можно внедрить в существующие почтовые клиенты и браузеры, которые затем поддерживают пользователя в процессе настройки. Многие известные поставщики услуг электронной почты высоко ценят шифрование и дополняют свои услуги плагинами PGP и понятными помощниками по настройке. Эти плагины упрощают настройку PGP-шифрования для вашей учетной записи электронной почты. Еще одна услуга, предлагаемая в настоящее время, — хранение открытого ключа в базе данных провайдера.

Многие поставщики услуг электронной почты сейчас поставляют уже готовые пакеты с PGP-шифрованием, а также простые для понимания инструкции, которые помогут вам в этом процессе. Если это не так, вам следует выполнить необходимые действия, о которых уже говорилось выше. В следующем руководстве по PGP рассматривается общий подход к настройке шифрования.

Первым шагом является поиск подходящего программного обеспечения PGP, которое должно быть совместимо как с операционной системой, так и с программой электронной почты. Пользователи Linux сделали правильный выбор, воспользовавшись решением с открытым исходным кодом GnuPG (GNU Privacy Guard), которое было выпущено в 1997 году. Это программное обеспечение работает почти на всех дистрибутивах GNU/Linux и обеспечивает шифрование в соответствии со стандартом OpenPGP во всех важных почтовых программах, таких как Evolution, Kmail и Thunderbird. Несколько устаревшая версия 1.4 предустановлена на многих системах по умолчанию, последнюю версию можно загрузить с официального сайта.

Пользователи операционных систем Windows или OS-X также найдут там двоичные файлы, с помощью которых они смогут установить специфические для данной системы Gpg4win и Mac GPG, которые основаны на GnuPG.

После установки программы PGP можно создать пару ключей. Для Linux откройте командную строку и используйте соответствующую команду, которую можно найти в руководстве к программе. Это пример для GnuPG:

Затем выберите тип шифрования. Вы должны изменить его по сравнению с настройками по умолчанию («RSA и RSA») только в том случае, если у вас есть необходимые знания. Затем введите длину ключа в битах: чем больше значение, тем надежнее ключи, но и тем медленнее производительность. Эксперты по безопасности рекомендуют длину ключей RSA в 4096 бит. Затем следует запрос срока действия ключей, и, наконец, имя и адрес электронной почты, для которых должна быть применена пара ключей. Наконец, необходимо подтвердить правильность всей этой информации и определить кодовую фразу для закрытого ключа. Она понадобится вам позже для шифрования или дешифрования ваших электронных сообщений.

В Windows и mac OS X вы начинаете генерацию кода с помощью графических программ. Независимо от программного обеспечения PGP и платформы, вам часто предлагается сгенерировать ключ с помощью произвольного ввода с клавиатуры или движения мыши.

Вы можете управлять сгенерированными ключами в Linux либо через терминал, либо с помощью графической программы, такой как Seahorse (для Gnome/Unity) или KGpg (для KDE). Команды командной строки для GnuPG, представленные в этом учебнике по PGP, например,

для получения закрытого ключа, а также

для получения списка всех сгенерированных открытых ключей. Разумеется, вы можете не только просмотреть перечисленные ключи, но и напрямую экспортировать их. Для этого создается файл .asc, который затем отправляется непосредственно нужным контактам по электронной почте (как вложение), загружается на сервер сертификатов или передается через USB-накопитель. Если контакт получил ваш открытый ключ, а также имеет программу управления ключами, он может отправлять вам зашифрованные сообщения, которые можно расшифровать с помощью соответствующего закрытого ключа, включая ключевую фразу. Если вы также хотите отправлять зашифрованные сообщения электронной почты этому контакту, вам понадобится его открытый ключ.

Вместо программ, которые вы устанавливаете на свою систему, вы также можете использовать онлайновые инструменты PGP для создания пар ключей, шифрования ваших писем или расшифровки полученных писем. В качестве примера мы рассмотрим веб-службу PGP Key Generator и онлайн-инструмент шифрования sela.

Веб-инструмент PGP Key Generator представляет собой программу на JavaScript, которая может быть выполнена в обычных веб-браузерах и позволяет сгенерировать пару ключей. Вы можете использовать этот сервис с открытым исходным кодом бесплатно и без необходимости регистрации. На первом этапе вы просто вводите в форму «Параметры» необходимые характеристики ключей: ваше имя, адрес электронной почты, желаемый алгоритм шифрования (RSA/ECC), длину ключа (до 4096 бит), срок действия (до восьми лет), а также кодовую фразу. Нажав на кнопку «Генерировать ключи», вы запускаете процесс генерации ключей, который занимает некоторое время. По завершении процесса вы увидите, что открытый ключ и закрытый ключ отображаются в окнах с соответствующими названиями. Используя соответствующую кнопку загрузки, скачайте оба ключа в формате .asc.

Как ввод данных, так и генерация пары ключей происходит на сайте клиента (т.е. в браузере) через TLS-соединение. Инструмент использует TLS-сертификат, который проверяется Amazon. Менеджеры веб-сервиса не хранят информацию о вас, ваш адрес электронной почты или сгенерированные ключи на своих серверах (Amazon S3 и CloudFront). Только Google Analytics записывает информацию для целей веб-анализа. Однако, как и во всех других приложениях JavaScript, злоумышленники могут найти бреши в безопасности PGP Key Generator, которые затем могут быть использованы для атаки на систему и получения конфиденциальной информации, такой как сгенерированный закрытый ключ, включая кодовую фразу.

Веб-сервис sela предлагает вам возможность шифровать и расшифровывать электронную почту в режиме онлайн. Вам понадобится только соответствующий ключ и парольная фраза (при расшифровке). Если вы хотите зашифровать сообщение, введите в соответствующие поля открытый ключ вашего контакта, а также содержание письма и нажмите на кнопку «Зашифровать сообщение». Вы получите отпечаток открытого ключа, а также зашифрованное сообщение, которое затем можно скопировать и вставить в другое место.

Если вы хотите расшифровать полученное сообщение, скопируйте свой закрытый ключ, соответствующую ключевую фразу и сообщение, которое необходимо расшифровать, в три соответствующих поля, а затем нажмите на кнопку «Расшифровать сообщение». После этого Sela отобразит содержимое письма в виде обычного текста. За эту услугу отвечает дизайнер Стефан Досдал, но он не разглашает никакой информации о том, использует ли он инструменты анализа, такие как Google Analytics. Соединение с инструментом сертифицировано TLS (через GeoTrust Inc.), но все же содержит вышеупомянутый риск JavaScript-приложений. Кроме того, при расшифровке он отправляет секретный ключ на сервер, что резко противоречит принципу PGP.

Если вы предпочитаете общаться через провайдеров веб-почты, таких как Gmail, Yahoo и Outlook, вы не ошибетесь, если воспользуетесь расширением для браузера Mailvelope. Расширение основано на OpenPGP.js, JavaScript-реализации стандарта OpenPGP, и доступно как для Google Chrome, так и для Mozilla Firefox — на сайте Mailvelope вы найдете ссылки для загрузки. После установки расширения на панели инструментов вашего браузера появится значок Mailvelope, который вы можете использовать для доступа к пользовательскому интерфейсу. Здесь вы можете создавать, импортировать и управлять своими ключами, а также открытыми ключами ваших деловых партнеров. Также можно загружать сгенерированные открытые ключи на сервер открытых ключей.

Чтобы использовать шифрование PGP на устройствах Android, вам необходим почтовый клиент, поддерживающий этот тип шифрования, а также программа для управления ключами. Особенно полезными оказались два приложения — бесплатная почтовая программа Squeaky Mail и платное приложение PGP KeyRing, которое также доступно в виде пробной версии (ограничена одним закрытым и двумя открытыми ключами).

Сначала установите Squeaky Mail и настройте свой почтовый ящик, используя свой адрес электронной почты. Затем вы можете использовать PGP KeyRing для импорта вашей пары ключей и поделиться открытым ключом с вашими партнерами по общению. Если вы отправляете им зашифрованное письмо, Squeaky Mail запрашивает вашу ключевую фразу и показывает содержимое письма только после того, как вы правильно ее введете. Чтобы отправлять зашифрованные сообщения, необходимо импортировать открытые ключи ваших контактов. При отправке письма установите флажок «Шифровать» и выберите соответствующий ключ.

Многие пользователи считают, что электронные письма, которые они отправляют, уже зашифрованы благодаря сертификатам SSL/TLS, но это не совсем так. Сертификаты SSL/TLS означают, что зашифрован только путь передачи электронной почты. Недостатком является то, что они могут быть перехвачены третьими лицами, которые могут прочитать их открытым текстом. С другой стороны, сертификаты SSL/TLS позволяют шифровать элементы, которые остаются незашифрованными с помощью PGP. Эти элементы могут включать информацию об отправителе, получателе и субъекте. Таким образом, сочетание шифрования PGP и SSL/TLS является оптимальным решением для защиты содержимого ваших электронных писем. Дополнительную информацию о шифрованной передаче можно найти в статье о шифровании SSL и TLS.