Ce plătește Apple ne poate învăța despre criptarea prin e-mail

Ce veți crea

Examinați imaginea de credit mashup: Email Self Defense - Fundația pentru Software Liber.

Acesta este un episod continuu în mine serie de tutorial privind confidențialitatea și securitatea prin e-mail. Episoadele anterioare detaliază o varietate de moduri de criptare și securizare a e-mailului. Acest episod va vorbi despre modul în care noi, ca tehnologi, putem reconstrui e-mailurile pentru epoca digitală.

Importanța e-mail-ului de confidențialitate a lovit acasă pentru mine recent ca am trimis prin e-mail prieteni despre diagnosticul meu tumora pe creier. Nu a existat nici o modalitate ușoară de a obține cuvântul fără a împărtăși o notă foarte personală cu serverele de poștă electronică pentru Gmail, Hotmail, Yahoo, Comcast și Apple (.me). Orice aparență de intimitate în acel moment era pur iluzorie. Majoritatea e-mailurilor pe care le-am schimbat cu furnizorii de asistență medicală în următoarele săptămâni ar fi, de asemenea, extrem de nesigure.

Mai degrabă decât să discutăm despre modul în care e-mailurile pot fi îmbunătățite pentru a spori securitatea, declar că este fundamental rupt în moduri pe care trebuie să le revizuim pentru vârsta modernă a comunicațiilor digitale. 

În acest tutorial, voi descrie modul în care e-mailurile sunt rupte și vorbește despre principiile Apple Pay, noul sistem de plăți mobile al companiei, care ar putea fi aplicate pentru a construi o infrastructură modernă de mesagerie care oferă securitate de la capăt la cap. Nu toate inspirațiile Apple Pay sunt tehnice; o parte din puterea sa cea mai mare constă în trecerea accentului de la profitul corporativ și colectarea de date și în beneficiul consumatorilor cu tranzacții mai rapide, mai sigure, mai private.

Rețineți că particip la discuțiile de mai jos. Dacă aveți o sugestie de întrebare sau subiect, vă rugăm să postați un comentariu de mai jos. Puteți, de asemenea, să-mi trimiteți mesaje pe Twitter @reifman sau prin e-mail direct.

Ce este rupt despre confidențialitatea și securitatea e-mailurilor

Confidențialitatea și securitatea e-mailurilor sunt în mod fundamental rupte. Marea majoritate a e-mailurilor pe care le trimitem plutește în jurul Internetului necriptate ca text simplu. 

In One nu trimite pur și simplu un e-mail, jurnalistul Quinn Norton scrie:

[Email] nu are nici o securitate în rețea proiectată în ea deloc. În parte, acest lucru se datorează faptului că ceea ce folosim pentru e-mail a fost menit a fi o măsură temporară, o oprire în timp ce protocolul real a fost dezvoltat. Asta a fost anul 1982. A avut o mică actualizare în 2008, dar e-mailul rămâne profund nesigur.

Cei mai mulți furnizori de servicii de webmail gratuit, precum Google, se gândesc la utilizatorii săi ca la produse, nu la oameni. Gmail este gratuit, astfel încât să putem învăța la fel de mult despre noi, cât poate pentru afacerea de publicitate. 

Dacă utilizați o gazdă comună de e-mail, cum ar fi Google, toate e-mailurile dvs. sunt accesibile pentru aceasta, pentru motoarele interne de analiză și pentru orice guvern cu acces ilegal sau aprobat de instanță. E-mailurile de ieșire pe care le-ați trimis persoanelor la alte gazde poștale pot fi recuperate relativ ușor prin supravegherea sau accesul similar.

Adresa dvs. IP este înregistrată pe măsură ce accesați și trimiteți mesaje, oferind un traseu parțial al locației dvs. fizice (dacă aceasta nu este deja înregistrată de furnizorii de servicii de telefonie mobilă).

De fapt, accesarea și trimiterea de e-mail-uri cu telefonul dvs. deschide vectori de atac suplimentari: compania dvs. de telefonie mobilă, furnizorul de backup, cum ar fi iCloud, sau supravegherea forțată în vamă în timpul unei opriri de frontieră. De exemplu, la începutul acestui an, un reprezentant T-Mobile ma sunat să răspund la Carrier Un-adevărat: Ten Lies T-Mobile mi-a spus despre planul meu de date și m-a surprins așa cum a zguduit în mod obișnuit domeniile comune pe care le accesez date din telefonul meu.

Având în vedere aceste slăbiciuni, orice scrieți într-un e-mail probabil este descoperit pentru totdeauna. Și nu există nici o modalitate de a ști dacă, când, cum și de cine a fost accesat e-mailul dvs..

În plus, mesajele pot fi modificate și falsificate de impostori (cum ar fi cu un om în mijlocul atacului). E-mailul poate fi folosit pentru a vă supune atacurilor de tip phishing și pentru a oferi cai troieni. După cum spune Norton, "E-mailul este un lucru periculos".

Despre criptare?

Credit de imagine Email Self Defense - Fundația pentru Software Liber

Criptarea cheilor publice rămâne destul de dificil de configurat și utilizat. Chiar dacă sunteți în stare, majoritatea oamenilor pe care îi trimiteți în mod regulat prin e-mail probabil că nu vor fi. Dacă ați citit tutorialele mele, probabil că ați realizat acest lucru până acum. Este greu pentru ca prietenii noștri să înceapă să-l folosească și greu de folosit în mod obișnuit.

Chiar și atunci când este folosit corect, criptarea nu face nimic pentru a proteja identitatea persoanelor cărora le trimiteți e-mailuri, cu excepția cazului în care utilizează adrese de e-mail anonime și care se conectează utilizând un serviciu, cum ar fi TOR. Mesajele plicurilor rămân deschise.

Ce plătește Apple face bine

În timp ce Apple Pay nu este un sistem de mesagerie, acesta oferă o inspirație conceptuală pentru un sistem de e-mail mai sigur. Iată câteva dintre lucrurile pe care le face bine de la care putem învăța. Puteți citi mai multe în Privire de ansamblu privind securitatea și confidențialitatea Apple Pay.

  • Achizițiile dvs. sunt private între compania dvs. de carduri de credit și fiecare comerciant individual.
  • Numărul dvs. de card și codul de securitate nu sunt distribuite nimănui.
  • Apple nu colectează nicio informație despre tranzacții care să poată fi legată de dvs.. 
  • Nici Apple, nici dispozitivul nu vă trimit numărul cardului dvs. de credit sau de debit. Înainte de a aproba plata, banca sau rețeaua dvs. de plată poate verifica informațiile dvs. de plată verificând codul de securitate dinamic pentru a vă asigura că este unic și că este legat de dispozitivul dvs..
  • Toate aspectele tranzacției sunt criptate și gestionate de Apple.
  • Elementul securizat este un cip standard certificat pentru industrie, conceput pentru a stoca informațiile dvs. de plată în siguranță. Numărul contului dispozitivului din elementul securizat este unic pentru dispozitiv și pentru fiecare card adăugat. Este izolat de iOS și Watch OS, nu este stocat niciodată pe serverele Apple Pay și niciodată nu a fost susținut de iCloud.
  • Puteți suspenda plata Apple oricând doriți să o opriți.

Apple a luat măsuri cu Apple Pay pentru a ne îmbunătăți viața, făcând cumpărăturile mai rapid, mai ușor și privat, fără a încerca să maximizeze profiturile. Ei au contestat status-quo-ul furnizorilor de cărți de credit fără scrupule și au făcut acest lucru cu consumatorul în minte. Aceasta a reprezentat o schimbare în direcția dezvoltării tipurilor de servicii care alcătuiesc țesătura vieții noastre de zi cu zi.

Apple Pay are o abordare echilibrată, pe termen lung, pentru reproiectarea și implementarea plăților, sugerând modul în care un singur furnizor poate oferi un serviciu securizat în interesul clienților săi. 

O arhitectură de e-mail mai sigură

Dacă aplicăm unele dintre principiile Apple Pay la un sistem de e-mail orientat spre confidențialitate, acesta ar oferi caracteristici similare:

  • Magazinul de nori din căsuța de e-mail va fi criptat și anonimat, indisciptat ochilor curioși și guvernelor.
  • Mesajele în tranzit ar fi complet criptate. 
  • Plicurile de mesaje între destinatari vor fi criptate.
  • Aplicațiile mobile care stochează datele la nivel local ar funcționa și pe date criptate.
  • Schimbul inițial de mesaje între părți ar fi realizat într-un mod care să le protejeze intimitatea.
  • Ștergerea contului este completă și verificabilă.

Desigur, există furnizori care încearcă să trimită mesaje în această direcție. 

Episoadele noastre anterioare te-au îndrumat prin folosirea de aplicații de la terți pentru a cripta mesaje, cum ar fi GPG Tools și Keybase, un director public cu chei verificabile. Aplicația Signal Systems Whisper Systems oferă mesaje criptate și apeluri criptate.

Lavabit a oferit o dată un sistem de e-mail securizat, care a oferit o serie de caracteristici, dar fondatorul acestuia a închis-o în loc să se confrunte cu amenințarea cu accesul guvernului complet. Silent Circle a făcut în mod similar și acest lucru.

Acum, însă, fondatorii acestor sisteme de e-mail cu inspirație intimă sunt înapoi.

Alianța Dark Mail

Alianța Dark Mail este formată din fondatorii acestor două companii, Silent Circle și Lavabit, făcând eforturi pentru a construi un sistem de e-mail securizat și privat, care să impulsioneze industria să sprijine standardele deschise care asigură protecție comună a confidențialității în acest sector - dintre care multe amintesc eu de la Apple Pay.

Misiunea Dark Mail

Pentru a aduce lumii unicul nostru protocol de criptare și arhitectură criptat, care este "noua generație" de e-mail privat și securizat. În calitate de parteneri fondatori ai Alianței Tehnice Dark Mail, ambele Silent Circle și Lavabit vor lucra pentru a aduce alți membri în alianță, pentru a le ajuta să implementeze noul protocol și pentru a prolifera primul "Email 3.0" criptat la nivel mondial. în întreaga lume furnizorii de e-mail. Scopul nostru este să deschidem protocolul și arhitectura și să ajutăm pe alții să implementeze această nouă tehnologie pentru a aborda problemele de confidențialitate împotriva amenințărilor de supraveghere și a ușilor din spate de orice fel.

Echipa pare să facă progrese solide. Puteți citi arhitectura și specificațiile sale detaliate privind mediul Internet (pdf) în care Levison își dedică proiectul Agenției Naționale de Securitate:

Și puteți urmări prezentarea lui DEF CON 22 pe Dark Mail:

Recent, ZDNet a raportat că primii furnizori Dark Mail vor veni în curând. Spune Levison: "Pentru că atât de mult timp a fost dedicat dezvoltării protocoalelor de e-mail întunecat, altcineva ar putea avea mai mult noroc luând codul open-source și primind primul furnizor de emailuri întunecate.

Apple Pay a stabilit un precedent potrivit căruia consumarea corectă de către consumatori este un lucru bun și, sperăm, va crește probabilitatea ca alte companii să aibă în vedere în mod deschis adoptarea suportului Dark Mail. Deocamdată, ne uităm și așteptăm - fără confidențialitate de rutină a e-mailurilor.

Vă rugăm să nu ezitați să postați întrebările și comentariile dvs. de mai jos. Puteți să mă contactați și pe Twitter @reifman sau să mă trimiteți direct prin e-mail. Puteți găsi celelalte tutoriale ale mele vizitând pagina mea de instructor Envato Tuts +. 

Link-uri conexe

  • Apple Pay Security și confidențialitate Privire de ansamblu
  • Cum plătesc Apple și Google Wallet de fapt (Ars Technica)
  • Arhitectura și specificațiile pentru mediul Dark Mail & Internet Mail (pdf)
  • Cadoul de Chirurgie Brain (de autor)
Cod