क्या ईमेल एन्क्रिप्शन पर्याप्त व्यावहारिक है?

9

मेरे द्वारा भेजे गए सभी ईमेल सादे पाठ के रूप में भेजे गए थे। पोस्टकार्ड की तरह, पता करने वाले के रास्ते पर हर कोई आसानी से पढ़ सकता है और उन्हें संग्रहीत कर सकता है। इससे मुझे चिंता होती है। मुझे पता है कि गोपनीयता अतीत का कुछ है, लेकिन ईमेल को एन्क्रिप्ट करना संभव है, कम से कम सिद्धांत में। हालांकि, मुझे आश्चर्य है कि क्या यह पर्याप्त व्यावहारिक है।

क्या कोई है जो ईमेल सुरक्षा के साथ अनुभव है? क्या इसे स्थापित करना आसान है? और क्या आप अभी भी अपने सभी मित्रों और परिचितों को ईमेल भेज और प्राप्त कर सकते हैं?

email  security  encryption 
दिमित्री सी।
स्रोत

जवाबों:

12

बहुत दुर्भाग्य से: नहीं।

मेल एन्क्रिप्शन आमतौर पर सार्वजनिक कुंजी एन्क्रिप्शन का मतलब है। इसमें प्राप्तकर्ता को एक सार्वजनिक कुंजी प्रकाशित करनी होती है - इसका उपयोग ईमेल को एन्क्रिप्ट करने के लिए किया जा सकता है। उस कुंजी में एक गुप्त जोड़ी होती है - एक निजी कुंजी जिसका उपयोग ईमेल को डिक्रिप्ट करने के लिए किया जा सकता है।

मेल एन्क्रिप्शन व्यावहारिक होने के लिए, ईमेल क्लाइंट के लिए सक्षम होना चाहिए:

  1. ईमेल भेजते समय, संदेशों को एन्क्रिप्ट करने के लिए प्राप्तकर्ता की सार्वजनिक कुंजी को स्वचालित रूप से लाया जाता है।
  2. ईमेल प्राप्त करते समय, नामित सर्वर से उपयोगकर्ता की निजी कुंजी प्राप्त करें, अधिमानतः यह वह होगा जो ईमेल सेवा (आमतौर पर आईएसपी ) प्रदान कर रहा है।
  3. खाता सेट करते समय, स्वचालित रूप से निजी कुंजी बनाएं और संग्रहीत करें।

लेकिन यहां बड़ी समस्या बुनियादी ढाँचे की है। ऐसा होने के लिए, वहाँ होना चाहिए:

  1. एक व्यापक रूप से उपयोग किया जाता है, एक ईमेल पते के साथ जुड़े एक सार्वजनिक कुंजी को प्रकाशित करने का मानक तरीका (और इस पद्धति को प्रमाण पत्र प्रणाली के माध्यम से सुरक्षित करना होगा ताकि एक तृतीय पक्ष भी आसानी से गड़बड़ न कर सके)।
  2. एक व्यापक रूप से इस्तेमाल किया जाता है, एक ईमेल पते के लिए स्वचालित रूप से एक निजी कुंजी बनाने और मानक तरीके से सुलभ रिमोट सर्वर पर इसे संग्रहीत करने का मानक तरीका। अधिमानतः यह सर्वर ईमेल प्रदाता से एक सामान्य सेवा का हिस्सा होगा। इस सर्वर का पता ईमेल क्लाइंट की खाता सेटिंग्स पर एक सामान्य प्रक्रिया के रूप में दर्ज किया जाएगा, जैसा कि आजकल इनकमिंग और आउटगोइंग ईमेल सर्वर दर्ज किए जाते हैं, जिसके बाद क्लाइंट चाबियों के साथ सभी परेशानी को संभाल सकता है।

एक अन्य समस्या यह है कि अधिकांश ईमेल क्लाइंट को डिक्रिप्शन को संभालने में सक्षम होना होगा, और सिस्टम को प्रभावी बनाने के लिए अधिकांश ईमेल प्रदाताओं को मुख्य सेवा प्रदान करनी होगी। संचार के दोनों सिरों पर एन्क्रिप्शन को पूर्ण समर्थन की आवश्यकता है। लेकिन मैं इसे एक मुद्दे के रूप में नहीं देखता हूं। यदि कुछ क्लाइंट और सर्वर पर एक आसान और व्यावहारिक मानक दिखाई देता है, तो वे "हम सुरक्षित ईमेल मानक का समर्थन करते हैं" का विज्ञापन कर सकते हैं, और अन्य शायद सूट का पालन करेंगे।

साथ ही उपयोगकर्ता को इस बारे में सूचित करना होगा कि क्या प्राप्तकर्ता के लिए एक सार्वजनिक कुंजी उपलब्ध है। प्राप्तकर्ता को जोड़ने पर एक अच्छा तरीका होगा, एक सामान्य सुरक्षित प्रतीक दिखाना, जैसे कि वेब ब्राउज़र के साथ एसएसएल / टीएलएस कनेक्शन में उपयोग किए जाने वाले पैडलॉक या नीली चमक।

बेशक, एक वैकल्पिक निजी कुंजी सर्वर, या यहां तक ​​कि सिर्फ एक महत्वपूर्ण फ़ाइल, को ईमेल क्लाइंट में कॉन्फ़िगर किया जा सकता है ताकि अधिक पागल उपयोगकर्ता अपने स्वयं के कुंजी को जहां चाहे वहां संग्रहीत कर सके। हम में से बाकी के लिए, ईमेल प्रदाता अभी भी ईमेल पढ़ सकता है क्योंकि वे निजी कुंजी संग्रहीत करते हैं - लेकिन यह अभी भी संचार को बहुत सुरक्षित बना देगा। आखिरकार, सुरक्षा अक्सर इस बारे में होती है कि हम किस पर भरोसा कर सकते हैं।

ईमानदारी से, मैं वास्तव में नहीं जानता कि यह अभी तक क्यों नहीं हुआ है। यह उतना जटिल नहीं है। पहले से ही इसके साथ जाओ!

इलारी काजस्ट
स्रोत
2
बहुत बढ़िया जवाब; मुझे लगता है कि आप बहुत ज्यादा नाखून लगाते हैं कि यह वास्तव में अब व्यापक क्यों नहीं है। (वर्षों पहले मैं PGP / GPG में बहुत ज्यादा था, और वास्तव में पसंद आया। इसके लिए KMail का अंतर्निहित समर्थन था। लेकिन यहां तक ​​कि एक सीएस छात्र के रूप में, मेरे पास बहुत कम लोग थे जिनके साथ मैं ईमेल एक्सचेंजों को एन्क्रिप्ट कर सकता था। जैसा कि आप कहते हैं, हम कहते हैं। ' ग्राहकों का उपयोग करने वाले अधिकांश लोगों की आवश्यकता है जो इसे पूरी तरह से समर्थन करते हैं, आदि)
जोनीक
1
अच्छा उत्तर! "मैं वास्तव में नहीं जानता कि यह अभी तक क्यों नहीं हुआ है": क्योंकि अधिकांश लोग गोपनीयता के बारे में बहुत अधिक जानकारी नहीं देते हैं। बस इंटरनेट पर देखें, जहां लोग वहां के हर विवरण को प्रकाशित करते हैं।
दिमित्री सी।
@ दिमित्री: हाँ, दुर्भाग्य से आप शायद सही हैं। लेकिन भले ही उपयोगकर्ता परवाह नहीं करते हैं, मुझे उम्मीद है कि बुनियादी ढांचे और लोगों का विकास होगा। प्रणाली मैं विस्तृत uninformed उपयोगकर्ता के लिए वैसे भी बहुत अधिक पारदर्शी होगा।
इलारी कजस्टे
मुझे लगता है कि यह बहुत अधिक है क्योंकि ईमेल लगभग इंटरनेट के रूप में पुरानी है और मौजूदा तकनीक के शीर्ष पर परत करने के लिए इस तरह के एक जटिल काम के आसपास की आवश्यकता है। यदि हम XMPP जैसे कुछ संदेश देने से बचते हैं, तो हम इस सब से बच सकते हैं, और स्थानांतरण के लिए SSL के समान कुछ का उपयोग कर सकते हैं।
सालमनमोसे
@salmonmoose: हाँ, ईमेल गंभीरता से पुराना है, और सभी लिंक के माध्यम से SSL स्थानांतरण एक अच्छा जोड़ होगा। हालाँकि, यह अभी भी एक मध्यस्थ मेल सर्वर को ईमेल पढ़ने की अनुमति देगा। मेरे द्वारा बताई गई प्रणाली के द्वारा, केवल ISP के दोनों सिरों पर वह कर सकेगा, और यहां तक ​​कि उसी प्रणाली के भीतर औसतन हो सकता है यदि प्राप्तकर्ता अपनी निजी कुंजी फ़ाइल / सर्वर सेट करने की परेशानी से गुजरता है।
इलारी काजस्ट
7

हां, यह व्यावहारिक है ( पीजीपी आर्कन साइंस नहीं है), और यह अनुशंसित है। और निश्चित रूप से आप अभी भी अनएन्क्रिप्टेड ईमेल भेजने और प्राप्त करने में सक्षम हैं।

और यदि आप एक मुफ्त सुरक्षित वेब-आधारित ईमेल सेवा देख रहे हैं, तो Hushmail के साथ साइन अप करें ।

हालांकि, अगर हर कोई ऐसा करता है, तो कुछ टीएलए एजेंसियां ​​बहुत जल्द वित्त पोषण से बाहर हो जाएंगी :)

पीटर मोर्टेंसन
स्रोत
1
मुझे यह विचार पसंद है, हालांकि इसके लिए ऐसे लोगों की संख्या की आवश्यकता है जो वास्तव में पीजीपी सेटअप करेंगे (उदाहरण के लिए, जब मैं फोन करता हूं तो वीडियो फोन का उपयोग क्या होता है? हार्डवेयर नहीं है? यह बदल रहा है, लेकिन क्या सुरक्षित संचार तेजी से लोकप्रिय होगा? ?)।
निक
1
मुझे लगता है कि पीजीपी हस्ताक्षर का विचार थोड़ा अधिक व्यावहारिक है - लेकिन, यह सिर्फ पहचान की समस्या को हल करता है और गोपनीयता की समस्या को हल नहीं करता है।
निक
आपका क्या मतलब है कि यह गोपनीयता समस्या को हल नहीं करता है? उस टिनफ़ोइल को हटा दें, पीजीपी एन्क्रिप्शन में कोई बैकडोर नहीं है। :)
ई-मेल पर हस्ताक्षर करना इसे एन्क्रिप्ट करने के समान नहीं है। हस्ताक्षर करने से पहचान की समस्या का समाधान होता है (जिसने इसे भेजा है), लेकिन यह सामग्री को गुप्त नहीं रखता है।
माइकल कोहेन
PGP कुंजियों का उपयोग या तो एक संदेश पर हस्ताक्षर करने, एक संदेश को एन्क्रिप्ट करने या दोनों के लिए किया जा सकता है। बॉब को एक संदेश पर हस्ताक्षर करने के लिए, ऐलिस उसकी निजी कुंजी का उपयोग करेगा, और बॉब एलिस की सार्वजनिक कुंजी का उपयोग करके इसे सत्यापित कर सकता है। बॉब को संदेश भेजने के लिए, ऐलिस इसे बॉब की सार्वजनिक कुंजी के साथ एन्क्रिप्ट करेगा, और बॉब इसे डिक्रिप्ट करने के लिए अपनी निजी कुंजी का उपयोग करेगा। अधिकांश पीजीपी संदेश पहले संदेश पर हस्ताक्षर करते हैं, और फिर इसे एन्क्रिप्ट करते हैं, यह सुनिश्चित करते हुए कि संदेश प्रामाणिक और निजी है।
उबकना
6

मेरे मन में विशेष परिस्थितियों (या लोगों के कुछ समूहों) को छोड़कर इसे प्रयोग करने योग्य बनाने के लिए ई-मेल एन्क्रिप्शन का उपयोग करने वाले पर्याप्त लोग नहीं हैं। दूसरी ओर, आपके ई-मेल पर हस्ताक्षर करना, किसी भी अनुकूलता की समस्या के साथ नहीं आता है, इसलिए यदि आप देखभाल करते हैं तो यह उपयोगी है।

एन्क्रिप्शन के साथ सबसे बड़ी समस्या अभी भी प्रारंभिक कुंजी विनिमय है। मैं किसी को भी नहीं जानता, जिसने वास्तव में प्रयोज्य दृष्टिकोण से उस समस्या को हल किया है।

माइकल कोहेन
स्रोत
1
यह वास्तव में एक खामी है, आप कभी भी 100% सुनिश्चित नहीं हो सकते हैं कि आपकी कुंजी से समझौता किया गया है या नहीं जब तक कि आप व्यक्तिगत विनिमय की व्यवस्था नहीं करते हैं जहां लागू हो।
2
आप की-एक्सचेंज के लिए की-कंट्रोलर का इस्तेमाल कर सकते हैं। कि तुम कुंजी बहुत सरल हो। उसके बाद आपको दूसरे पक्ष की पहचान को मान्य करना चाहिए, अर्थात एक एन्क्रिप्टेड मेल भेजना और अगली व्यक्तिगत बैठक में पूछना, अगर वह काम किया है।
Mnementh
1
आधी हकीकत। सुरक्षा के लिहाज से कुछ खास तरीके हैं जो चाबियों के व्यक्तिगत आदान-प्रदान (लेकिन इसके बराबर) के करीब हैं।
@Mnementh: यदि आपकी व्यक्तिगत बैठकें होने वाली हैं, तो हो सकता है कि आप कुंजी विनिमय के लिए उनका उपयोग करें। इसके लिए किसी कीपर की जरूरत नहीं है। Keyservers अच्छे हैं, लेकिन आप अंत में किसी और पर भरोसा करना चाहते हैं, किसी तरह, उन्हें इस्तेमाल करने के लिए। यहीं से मुझे घबराहट होती है।
माइकल कोहेन
एक पुराने टर्की को रीहाश करने के लिए नहीं, लेकिन ... यदि आप एक वेब आधारित ईमेल क्लाइंट पर भरोसा करने जा रहे हैं, तो आप ईमेल एन्क्रिप्शन को सक्षम करने के लिए वेब आधारित कीसेवर पर भी भरोसा कर सकते हैं। कुंजी विनिमय के साथ अपना समय बर्बाद मत करो, उस समस्या को सार्वजनिक कुंजी एन्क्रिप्शन द्वारा हल किया गया था। बस यादृच्छिक सत्र कुंजी, सममित सिफर का उपयोग करें, और पीकेई के साथ गैर-कुंजी साझा करें।
क्राइस स्ट्रींगफेलो
4

मैं ऊपर मौली से सहमत हूं, लेकिन बहुत कुछ जोड़ना है। PGP (या GPG यदि आप कुछ फ्रीवेयर चाहते हैं) का उपयोग करना बहुत आसान है, और कई स्टैंडअलोन मेल क्लाइंट के साथ काम करता है। उस ने कहा, यह उस ईमेल के साथ काम नहीं करेगा जिसे आप इन-ब्राउज़र (जहां तक ​​मुझे पता है) का उपयोग करते हैं और दोनों लोगों को एक ही (या कम से कम अंतर-कार्यकारी) पैकेज स्थापित करने की आवश्यकता होती है।

यह मुश्किल नहीं है, लेकिन दूसरों को इसे स्थापित करने और इसका उपयोग करने के लिए आश्वस्त करना कठिन हो सकता है। मुझे पता है कि मैंने कुछ समय पहले कोशिश की थी, और कोई भी साथ नहीं चलेगा।

यहोशू Nurczyk
स्रोत
1
सामान स्थापित करने के लिए आपको दूसरे पक्ष की आवश्यकता नहीं है, लेकिन आप केवल एन्क्रिप्ट किए गए मेल दूसरों को भी पीजीपी / जीपीजी स्थापित कर सकते हैं। कम से कम आप उन्हें हस्ताक्षरित मेल भेज सकते हैं। लेकिन PGP / GPG को स्थापित करने से आप कुछ भी नहीं खोते हैं और अन्य लोग पहले से ही अपने मेल को एन्क्रिप्ट कर सकते हैं। अब आप एन्क्रिप्टेड मेल भी भेज सकते हैं।
Mnementh
यह एक हद तक काम करता है। आप PGP के साथ एक संदेश को एन्क्रिप्ट कर सकते हैं और इसे वेब-आधारित ईमेल सेवा के माध्यम से भेजे जाने वाले ईमेल में संलग्न कर सकते हैं
मुझे लगता है कि मैंने एक ग्रिसेमनीकी स्क्रिप्ट देखी, जिसका उपयोग वेब ई-मेल एप्लिकेशन में पाठ इनपुट फ़ील्ड को एन्क्रिप्ट करने के लिए किया जा सकता है। या यह एक फ़ायरफ़ॉक्स प्लगइन था? यदि आपकी रुचि है तो Google पर जाएं। :-)
नष्ट कर दिया
2

मेरी राय में, S / MIME इस समय PGP से अधिक व्यावहारिक है क्योंकि इसका ट्रस्ट मॉडल अधिक स्पष्ट रूप से परिभाषित है, क्योंकि यह पहले से ही लोकप्रिय ईमेल क्लाइंट द्वारा समर्थित है, और क्योंकि कुंजी वितरण प्रोटोकॉल में बनाया गया है।

PGP के पास एक ऐसा ढीला-ढाला ट्रस्ट मॉडल है कि औसत उपयोगकर्ता अपनी कुंजी हस्ताक्षरित (या फ़िंगरप्रिंट्स की जांच करने) को परेशान नहीं करेगा, और पहचान की पुष्टि करने के लिए यह बेकार हो जाता है। "ट्रस्ट ऑफ चेन" की पीजीपी अवधारणा भी बड़े समुदायों (जैसे दुनिया ) में तब तक टूटना शुरू हो जाती है जब तक कि पर्याप्त व्यक्ति नहीं होते हैं जो महत्वपूर्ण हस्ताक्षर करने वाली पार्टी से यात्रा करने वाले प्रमुख हस्ताक्षर करने वाले पार्टी से लेकर पड़ोस तक को जोड़ने में अपना जीवन बिताते हैं।

X.509 के साथ S / MIME अधिक व्यावहारिक है, क्योंकि एक बार जब आप Thawte या CACert जैसे केंद्रीय संगठन के लिए अपनी पहचान साबित कर चुके हैं , तो आपकी कुंजी तुरंत सभी द्वारा विश्वसनीय है।

मुझे अभी CACert पसंद है, क्योंकि यह एक गैर-लाभकारी संगठन है जो मुफ्त में चाबियाँ प्रदान करता है, लेकिन इसकी जड़ वर्तमान में अधिकांश कंप्यूटर और वेब ब्राउज़र के साथ वितरित नहीं की गई है। किसी भी तरह, एक रूट स्थापित करना पीजीपी स्थापित करने और बनाए रखने की तुलना में बहुत आसान है।

(सुपर-पैरानॉयड के लिए, निश्चित रूप से, पीजीपी श्रेष्ठ है क्योंकि आपके नाम और ईमेल पते के साथ एक छायादार टीएलए के लिए डुप्लिकेट कुंजी जारी करने की शक्ति वाला कोई केंद्रीय संगठन नहीं है।)

s4y
स्रोत
2

हर किसी को जोड़ने के लिए एक और बात - अगर एक समापन बिंदु से समझौता किया जाता है, तो सभी दांव बंद हो जाते हैं।

उदाहरण के लिए, यदि आप किसी मित्र को संपूर्ण एन्क्रिप्शन योजना का उपयोग करके एक एन्क्रिप्टेड ईमेल भेजते हैं, लेकिन आपका मित्र अपने मेल की जांच के लिए एक स्पाइवेयर / ट्रोजन संक्रमित कंप्यूटर का उपयोग करता है, तो उस समय आपके ईमेल को गोपनीय रखने से कुछ नहीं होता है।

इसी तरह, यदि आपका खुद का कंप्यूटर समझौता किया हुआ है, तो आपके द्वारा भेजा गया हर ईमेल संभावित रूप से सार्वजनिक है।

शेन
स्रोत
ईमेल सुरक्षित होने के लिए, इसे ग्राहक की ओर से स्थानीय रूप से संग्रहीत नहीं किया जा सकता है।
सर्फ
@surfasb, सुनिश्चित करें कि इसे स्थानीय रूप से संग्रहीत किया जा सकता है ... एन्क्रिप्टेड रूप में
जोएलफैन
1

मैं व्यावहारिकता से संबंधित असहमत हूं क्योंकि संदेश को सुरक्षित रखने के लिए प्राप्तकर्ता को सुरक्षित ईमेल प्रणाली का उपयोग करना होगा और ईमेल सर्वर के बीच संचरण को भी सुरक्षित करना होगा। यदि आपके पास एक विशिष्ट प्राप्तकर्ता है और आप इन चुनौतियों का सामना करने के लिए उनके साथ काम करने में सक्षम हैं, तो यह किया जा सकता है लेकिन एन्क्रिप्टेड ईमेल में एक थोक संक्रमण के लिए, यह व्यावहारिक नहीं है।

DGivens
स्रोत
3
वास्तव में, सुरक्षित ट्रांसमिशन की आवश्यकता नहीं है, बस प्रारंभिक सुरक्षित कुंजी विनिमय है। यदि आप सुरक्षित रूप से कुंजियों का आदान-प्रदान कर सकते हैं, और हम मानते हैं कि एन्क्रिप्शन एल्गोरिथ्म में शोषक दोष हैं, तो इससे कोई फर्क नहीं पड़ता कि हस्तक्षेप करने वाले नेटवर्क सुरक्षित हैं या नहीं - केवल प्राप्तकर्ता ही संदेश को डिक्रिप्ट कर पाएगा।
माइकल कोहेन
1
मैं माइकल कोहेन से सहमत हूं। मेल को एन्क्रिप्ट करने का पूरा बिंदु एक असुरक्षित और शायद समझौता किए गए चैनल पर भेजना है। केवल एंडपॉइंट को सुरक्षित करना होगा। डेस्कटॉप- mailclients के साथ जिसका अर्थ है कि दोनों संचारकों के कंप्यूटर हैक नहीं हुए हैं। वेब-मेल के साथ वेबमेल-सर्वर और वेबसाइट पर संचार को भी सुरक्षित रखना होगा।
Mnementh
1

एक अन्य विकल्प वोल्ट सिक्योरमेल है। यह वोल्टेज IBE (पहचान आधारित एन्क्रिप्शन) का उपयोग करता है, जिसे पीकेआई की अगली पीढ़ी माना जाता है जिसे सार्वजनिक कुंजी के लिए प्रमाण पत्र की आवश्यकता नहीं है ... बस एक ईमेल पता।

वोल्टेज सिक्योरमेल में एन्क्रिप्टेड ईमेल भेजने के लिए आउटलुक प्लग-इन या एक वेब इंटरफेस है। संदेश प्रेषक और प्राप्तकर्ता द्वारा पूरी तरह से नियंत्रित होते हैं। कोई संदेश सर्वर पर संग्रहीत नहीं हैं।

प्राप्तकर्ता को अपने संदेशों को डिक्रिप्ट और पढ़ने के लिए किसी विशेष सॉफ्टवेयर की आवश्यकता नहीं होती है। PGP या SMIME की तुलना में इसका उपयोग करना बहुत आसान है और सुरक्षित है।

इस पर कोशिश करें: www.voltage.com/vsn

0

मुख्य समस्या यह है कि आप एक ही एन्क्रिप्शन योजना का उपयोग करने के लिए अपने संवाददाताओं को समझाने के लिए मिल गए हैं। यह काफी असंभव है, क्योंकि कोई भी बढ़ी हुई गोपनीयता में प्रयास नहीं करना चाहता है। मेरा अनुमान है कि ईमेल संदेशों को हमेशा, बिना पछतावे के भेजा जाएगा।

दिमित्री सी।
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.