尽管科技日新月异,使我们能够即时发送和接收消息和媒体文件,并通过网络电话服务进行视频聊天,但电子邮件在 21 世纪仍然是最常见的通信方式之一。
企业可能会主要使用电子邮件来通知您重要事件、向您发送时事通讯或要求您确认创建新帐户。个人也会使用电子邮件,特别是当不需要收件人立即回复时。
然而,由于电子邮件被用于在各种个人或公司之间传输大量信息,它们也成为黑客的理想目标,黑客使用各种漏洞、社会工程和其他技术来获取它们。
值得庆幸的是,您可以使用多种方法来保护您的电子邮件免受不法之徒的侵害。 其中一种最常用的方法是通过加密,这种方法可以使您的电子邮件内容无法读取,除非您拥有解密密钥。
电子邮件加密的含义
加密是一种保护信息的方法,通过对信息进行编码并使用密钥将其锁定。 这样,只有拥有或知道密钥的人才能解密信息并以原始形式查看信息。 您可能可以理解为什么加密在发送或接收私人电子邮件时发挥着重要作用,这些邮件只有发件人和收件人才能阅读。
因此,如果您想发送一封除您和收件人之外的任何人都无法破译的电子邮件,您就需要一个加密密钥。 不言而喻,发件人需要密钥来加密电子邮件的内容,而收件人需要相同的密钥来解密它。
在没有关于加密及其工作原理的先验知识的情况下,加密电子邮件可能显得异常复杂,但请相信我们,一旦您了解了它,它其实并不复杂。 想象一下,您和一位朋友有两把相同的钥匙可以打开同一个锁。 现在,您将一个盒子送到他们那里,并用您的钥匙锁上。 收到盒子后,您的朋友使用与您相同的钥匙打开盒子并享受其中的内容。
电子邮件加密的工作方式相同,只不过盒子是电子邮件,而相同的密钥实际上是虚拟的,由复杂的代码组成。 那么,您如何知道你们都拥有相同的密钥,更重要的是,您如何确保没有其他人拥有它呢?
电子邮件加密是如何运作的?
正如我们上面提到的,电子邮件加密依赖于由计算机生成的代码组成的密钥,以避免人为错误并添加人类不擅长的随机因素(即避免形成模式)。计算机为电子邮件加密生成的代码基于一种称为公钥加密的技术。
每个电子邮件用户都可以拥有一对密钥,其中一个保存在公共服务器上(公钥),另一个秘密存储在他们选择的设备上(用于接收电子邮件的设备)。 如果您想向收件人发送加密的电子邮件,您必须在公共服务器(也称为密钥服务器)上查找他们的身份,该服务器将与公钥及其电子邮件地址相关联。
然后,您使用收件人的公钥加密电子邮件。 现在,我们知道所有这些密钥都是公开可用的,这可能会让您感到有些困惑,并且可能无法为您提供您正在寻找的隐私和保密感。 但是,值得注意的是,您不能使用公钥来解密电子邮件,因为解密部分发生在收件人的设备上,该设备拥有用于解密的另一半密钥(也称为私钥)。
如何发送加密邮件?
所以,回顾一下,您有一对密钥,一个公开的和一个私密的。 前者被其他人用来向您发送加密的电子邮件,而后者被您用来解密已被前者加密的电子邮件。 很简单,对吧?
然而,当事情开始变得有点复杂时,有几种广泛使用的电子邮件加密类型,但我们只会讨论其中的三种:PGP/内联、PGP/MIME 和 S/MIME。 除了拥有正确的密钥集(公钥/私钥)之外,发件人和收件人必须使用相同类型的加密来发送/接收加密的电子邮件才能正常工作。
电子邮件加密类型
1. PGP/内联
PGP/内联是一种电子邮件加密方法,它会单独加密邮件的每个组成部分。 这意味着在使用 PGP/内联时,电子邮件正文和附件都会被单独加密和签名。 尽管这种方法可能看起来有些不必要地复杂,但它确实有其优点。
例如,收件人可能正在使用不支持 PGP 电子邮件加密的电子邮件客户端。 但是,使用 PGP/内联,收件人只需复制或分别下载电子邮件的内容(电子邮件正文和附件),并使用第三方软件解决方案解密这些内容。
不利的一面是,每个组件都被单独加密这一事实意味着每个附件的类型和名称都会在解密之前泄露,这并非加密方案的理想特性。
最后但并非最不重要的是,值得一提的是 PGP/内联不支持发送 HTML 消息。 因此,使用此加密方法发送的所有消息都将以纯文本格式发送。
2. PGP/MIME
PGP/MIME 加密方案是一种较新的方法,与 PGP/内联有些相反,因为它将所有内容捆绑在一起、加密并作为一个整体进行签名。 正如您所预料的那样,PGP/MIME 相对于其内联对应物的主要优势是消息结构不会泄漏,因此任何能够截获消息的人都无法找出附件元数据等详细信息。
此外,对于不支持 PGP 的客户端,PGP/MIME 电子邮件签名更加谨慎。 不利的一面是,如果收件人的客户端不支持 PGP,他们必须下载整个邮件(包括附件)才能使用第三方工具对其进行解密,因为如上所述,PGP/MIME 会捆绑所有内容并将其作为一个整体进行加密。
3. S/MIME
我们将在本文中关注的第三种也是最后一种加密类型是 S/MIME。 虽然不是专有的,但大多数 iOS 和 OSX 设备都内置了这种加密方案。 您可能已经注意到,在收到来自 iPhone 或 Mac 系统的电子邮件时,该电子邮件还附带一个名为“smime.p7s”的小附件。
我们上面提到的这个附件只是一种验证收件人身份的方法,以确保一旦电子邮件到达目的地,他们是唯一可以解密和阅读电子邮件的人。 尽管这似乎是一个非常有效的加密系统(确实如此),但它也更难实现,而且并不完全免费。
与我们上面简要描述的其他两种加密技术(PGP/内联和 PGP/MIME)相反,S/MIME 不是免费提供的,除非您拥有 Apple 设备。 如果您不这样做,则必须购买 S/MIME 证书才能发送和接收使用此技术加密的电子邮件。 此外,S/MIME 也更难以在流行的邮件客户端(例如 Gmail)上设置。
如何发送安全的电子邮件?
1. 如何在 Outlook 中加密电子邮件
Outlook 仅支持两种加密选项,即 S/MIME 和 Microsoft 365 邮件加密(信息权限管理)。 对于 S/MIME,发件人和收件人都必须拥有支持该标准的邮件客户端,幸运的是,Outlook 就是其中之一。
Microsoft 365 邮件加密包含在 Office 365 Enterprise E3 许可证中。 但是,在这种情况下,只有发件人需要 Microsoft 365 邮件加密,这可以稍微简化一些事情。
值得一提的是,最近对 Outlook 的修改使权限按钮看起来已经消失了,而实际上它已被一个加密按钮所取代。 您可以在“选项”菜单中找到它,但我们稍后会介绍。
最近添加的加密按钮包含我们上面讨论过的两个加密选项,S/MIME 和 IRM(信息权限管理),但前者只有在您已经在 Outlook 中配置后才可见。
话虽如此,让我们看看如何在 Outlook 中配置 S/MIME 并将其设置为您选择的加密方法。
创建数字证书
在 Outlook 中,转到“文件”菜单
选择“选项”
单击“信任中心”
选择“信任中心设置”
转到“电子邮件安全”
单击“获取数字身份证”按钮
选择一个证书颁发机构来创建您的数字 ID(Comodo 是一个常见的选择)
检查您的电子邮件以获取数字 ID
将 S/MIME 添加到 Outlook
启动 Outlook
打开“文件”菜单
选择“选项”
前往“信任中心”
选择“信任中心设置”
转到左侧窗格中的“电子邮件安全”
单击“加密电子邮件”部分中的“设置”按钮
单击“证书和算法”部分下的“选择”按钮
选择您之前申请的 S/MIME 证书
单击“确定”按钮
如果您有 Microsoft 365 订阅,您可能需要执行一些不同的操作。 即:
在撰写电子邮件时,单击“选项”按钮
单击“加密”按钮
从组合菜单中选择“使用 S/MIME 加密”选项
完成撰写电子邮件并发送
如果您使用的是 Outlook 2019 或 2016,则可以执行上述步骤,但使用“权限”按钮而不是“加密”按钮。
使用 IRM 加密(Microsoft 365 消息加密)
撰写电子邮件时,请转到“选项”选项卡
单击“选项”部分中的“加密”按钮
选择强制执行您想要的限制的选项(例如,不转发、仅加密等)
撰写您的电子邮件并发送
请注意,对于 Outlook 2019 和 2016 用户,您需要使用“权限”按钮而不是“加密”按钮。 除此之外,该过程与 Microsoft 365 用户完全相同。
加密单个消息
当您在要发送的消息中时,转到“文件”菜单
选择“属性”
选择“安全设置”选项
选中“加密邮件内容和附件”框
完成您的消息并发送它(它将被加密)
加密所有外发电子邮件
导航到“文件”选项卡
选择“选项”
转到“信任中心”选项
选择“信任中心设置”
转到“电子邮件安全”选项卡
选中“加密电子邮件”下的“加密内容和附件以发送邮件”
您可以使用“设置”按钮修改其他设置,例如选择特定证书
请注意,如果您选择默认加密所有外发邮件,则无需再单独加密您的邮件。 您只需像往常一样编写它们并发送它们。 但是,您的收件人必须拥有您的数字 ID 才能破译并查看您的邮件内容。
2. 如何在 Gmail (Webmail) 中加密电子邮件
幸运的是,Gmail 等基于 Web 的电子邮件客户端接受 S/MIME 和 PGP 加密,但我们发现 S/MIME 有点过于复杂,无法证明努力的合理性,因此我们将使用 PGP,因为它比其竞争对手更容易实现。
另一方面,值得注意的是,您需要使用浏览器 (Chrome) 扩展形式的第三方服务,以便对您的 Gmail 客户端和使用此平台发送的电子邮件实施 PGP 加密。
话虽如此,您可以选择您喜欢的任何 PGP 浏览器扩展,因为它们中的大多数执行相同的功能,并且它们之间几乎没有区别。 如果您需要建议,我们会提醒您 FlowCrypt、Mailvelope、PrivateMail、Mymail-Crypt、Digify、PGP Anywhere、GPGTools、EnigMail 和 GNU Privacy Guard。
从我们的建议列表中安装您最喜欢的扩展程序后(或者不安装),您应该访问其配置菜单。 我们不知道您安装了哪个扩展程序,因此我们将为您提供一些(希望)适用于您选择的扩展程序的一般指南。 如果您发现整个过程太难,请尝试使用不同的扩展程序。
好的,回到我们原来的位置:访问扩展程序的配置菜单,然后通过在指定字段中输入姓名、电子邮件地址和密码来生成您的密钥。 如果扩展程序尚未生成您的密钥,您可能需要按一个按钮(例如,“生成”、“提交”、“确认”)来确认您的输入,因此请仔细查看,如果找到,请执行此操作。
由于大多数电子邮件加密浏览器扩展都带有密钥环和密钥生成器,因此创建 PGP 公钥和私钥应该很容易执行。 但是,您也可以使用其他服务创建您的密钥并尝试导入它。 如果您已经拥有密钥一段时间,并且希望继续在 Gmail 中使用它,这也适用。
现在,如果您还记得,我们已经解释过,为了让人们找到您的密钥,您必须手动将其提供给他们,或者简单地将其上传到密钥服务器,以及有关您的其他可识别详细信息(例如您的姓名和电子邮件地址)。
话虽如此,找到您的扩展程序的导出功能并尝试使用它以纯文本格式检索您的公钥。 拥有它后,将整个内容(包括标题)复制到剪贴板,并尝试找到适合您需要的密钥服务器。
麻省理工学院提供了最受欢迎的密钥服务器之一,因此您可以考虑将您的密钥上传到那里。 您所要做的就是访问 麻省理工学院 PGP 密钥服务器,将您的密钥(您之前复制的密钥)粘贴到提交字段中,然后点击“提交”按钮。 而已! 如果您想检查是否正确,只需返回 MIT PGP 密钥服务器的主页,并使用您在公钥中键入的名称执行搜索。
如果您做的一切正确,您应该能够在密钥服务器中看到您的公钥、您的姓名和您的电子邮件地址。 请注意,主页上还有一个 keyID 参数,这非常有用,尤其是在多个用户共享相同名称时。 它实际上经常发生,这就是为什么您还需要与您要与之交换加密电子邮件的联系人共享您的 keyID。
现在您已经获得了公钥并将其上传到密钥服务器,您可以接收来自其他人的加密电子邮件。 但是,如果您想向某人发送 PGP 加密的电子邮件怎么办? 好吧,既然您仍在 MIT 密钥服务器网站上,请随时查找您想与之交换加密电子邮件的人。
如果您有幸找到它,请单击您感兴趣的用户的 keyID。这样做会以纯文本格式显示他们的公钥。 您可以将整个公钥复制到键盘并将其导入您选择的扩展程序中,以将其添加到您的密钥环中。 现在,根据您的扩展程序,您可以直接从扩展程序或其他窗口开始与收件人交换加密邮件。
对于大多数扩展程序,您可以在扩展程序的一部分中键入电子邮件的内容,从密钥环中选择收件人,然后只需将加密文本复制并粘贴到您的电子邮件中。 请记住,您应该像复制它一样粘贴加密文本,因为篡改它可能导致无法解密它,所有这些工作都是徒劳的。
如果您安装了一个不错的扩展程序,解密和阅读加密电子邮件应该很容易,因为大多数扩展程序会自动检测加密电子邮件,并会自动为您解密它们。 但是,您的扩展程序也有可能具有手动解密部分,您必须在其中粘贴消息的全部内容并手动解密。
不幸的是,并非所有扩展都支持加密附件,但可以通过使用文件加密程序或搜索具有附件加密支持的扩展来轻松解决。 例如,Gnu Privacy Guard 可以帮助您在上传附件之前对其进行加密,以便您可以使用相同的加密密钥对电子邮件正文和附件进行加密。
3. 苹果邮件(iOS)
正如我们之前提到的,iOS 设备具有内置的 S/MIME 支持。 更准确地说,默认电子邮件应用程序(Apple Mail)具有内置的 S/MIME 支持,因此您无需做太多工作即可在 iOS 设备上启用这种形式的加密并发送私密、安全的电子邮件。
以下是在 iOS 设备上启用 S/MIME 或确保已正确启用的方法:
在 iPhone 上打开 Apple Mail
前往“高级设置”部分
确保 S/MIME 已打开
将默认加密选项更改为“是”
就这样。 现在,每当您在 iPhone 上撰写电子邮件时,您都可以在收件人姓名旁边看到一个锁定图标。 默认情况下,它会显示一个未锁定的锁,但只需点击它即可将其设置为“锁定”位置并加密您的电子邮件。
请注意,某些收件人的姓名旁边会有一个红色的锁定图标,这意味着您尚未安装他们的证书,或者他们不在您的交换环境中(例如在同一家公司工作),因此您’在这种情况下,不要向他们发送加密消息。 不过不用担心,您可以快速快速地解决这个问题。
为了与该人交换加密的电子邮件,您需要让他们向您发送附有数字签名的电子邮件。 将您的数字签名附加到电子邮件消息需要您首先切换选项,这可以在与我们上面解释的加密选项相同的菜单中完成。
收到该消息后,您需要执行以下操作:
单击发件人的电子邮件地址
检查是否出现红色问号,让您知道签名不受信任
点击“查看证书”选项
点击“安装”按钮
点击右上角的“完成”按钮
执行这些步骤后,收件人姓名旁边的锁定图标将变为蓝色,您可以点击它以将图标设置为“锁定”位置并与该联系人发送加密消息。
4. 邮件应用 (Mac/OSX)
如果您想从 Mac (OSX) 上的默认邮件应用程序发送加密的电子邮件,您必须满足与上述 iOS 和 Outlook 版本相同的要求:收件人的数字签名必须事先存储在您的设备上。
检索收件人的数字 ID 后,每当您撰写邮件并键入联系人的电子邮件地址时,您将能够看到一个复选标记,通知您该邮件将被签名。 现在您不应该将此复选标记与我们在 iOS 部分中讨论的锁定图标混淆,因为签名和加密电子邮件消息是两个截然不同的事情。
现在您还应该能够看到签名复选标记旁边的锁定图标。 但是,与 iOS 不同,您可以简单地决定哪些联系人接收加密电子邮件,哪些不接收,在使用 Mac 时,您必须拥有您作为收件人包含在电子邮件中的所有联系人的数字证书。
否则,即使您的某些联系人的数字证书已准备好并在您的设备上可用,电子邮件也不会被加密。 最后一件事; 确保仅在完成撰写电子邮件后才对其进行签名。 之前执行任何修改将使证书显示为不受信任。
5. 安卓(S/MIME)
Android 设备比 iOS 或 Mac 设备有更多的空间,因此您可以依靠第三方工具来帮助您在发送电子邮件之前对其进行加密。 一个这样的例子是 CipherMail,它可以与 Gmail 应用程序结合使用,但也可以与其他第三方选项一起使用,例如 Outlook、Thunderbird、K-9 和其他现有的 S/MIME 客户端。
CipherMail 可帮助您加密邮件和附件,支持 HTML 电子邮件,确保自动提取证书,支持 CRL,包括用于将证书列入黑名单或白名单的 CTL(证书信任列表),甚至能够生成要使用的自签名证书用于私有 PKI。
6. 安卓(PGP)
正如我们之前提到的,S/MIME 可能比 PGP 更安全(在某些方面),但 PGP 更容易实施,完全免费,并且为您提供了更多关于您可以/不可以发送加密的灵活性电子邮件到。 但是,在 Android 上 PGP 并不是自然发生的,因此您必须使用工具来帮助它。
例如,OpenKeychain 是一个 100% 免费使用的轻量级工具,可以帮助您为他人存储证书和 PGP 密钥。 您可以将它与支持 PGP 的电子邮件客户端(例如 K-9)一起使用,而无需付出很大的努力。
在您的 Android 设备上操作 OpenKeychain 非常简单,因为它允许您创建自己的公钥和私钥。 您只需输入您的电子邮件地址、姓名和密码,OpenKeychain 就会为您生成一对密钥。 如果您有一个现有密钥,您也可以使用 OpenKeychain 导入现有密钥。
生成密钥后,您可以将其从应用程序中导出,以便您可以根据需要将其与其他应用程序和设备一起使用。 如果您需要查找某个联系人的公钥,您可以使用 OpenKeychain 查找该人并尝试找到他们的公钥,这样您就可以向他们发送加密的电子邮件。 OpenKeychain 还会保存您添加到密钥环中的公钥,以便您以后可以再次使用它们,而无需花费太多时间环顾四周。
如果您想将 OpenKeychain 与您的电子邮件客户端一起使用,您可能需要转到该应用程序的配置菜单,找到加密设置,然后尝试将 OpenKeychain 设置为您的首选或默认 PGP 或 OpenPGP 提供程序。 有几个应用程序支持 PGP 加密,但配置菜单因应用程序而异。 值得一提的是,并非所有 Android 电子邮件客户端都支持加密。
7. 质子邮件
如果我们上面讨论的所有程序对您来说都是胡言乱语,并且您喜欢保持简单明了,那么还有另一种解决方案适合您:使用默认提供强加密的电子邮件服务。
幸运的是,ProtonMail 不仅是一个使用端到端加密和零访问加密来保护您的电子邮件的邮件客户端,而且它也是免费使用的。 说实话,ProtonMail 提供付费和免费计划,但免费计划包括 500 MB 的存储空间和每天最多 150 条消息的限制,我们认为这足以满足您对加密、安全邮件的需求。
如果没有,那么 ProtonMail 的 Plus(付费)版本为您提供 5 GB 的存储空间,让您每天最多发送 1000 条消息,具有标签、文件夹和自定义过滤器,可以将加密消息发送到外部(非 ProtonMail)收件人,允许您使用自己的域,并为您提供最多 5 个电子邮件别名,每月仅需 4.00 欧元。
使用免费版 ProtonMail 的唯一缺点是您将无法向未使用相同电子邮件客户端的收件人发送加密邮件。 但是,如果您需要快速的电子邮件交换,您可以说服您的收件人创建一个免费的 ProtonMail 帐户,这样您就可以放心地处理违反电子邮件隐私的问题。
8. 一次性电子邮件地址(刻录机)
您可能听说过与各种不正当交易相关的“燃烧者”一词,但就保护您的隐私而言,您不应该回避它。 创建一次性电子邮件地址(也称为刻录机或临时电子邮件地址)是将您的安全和隐私保持在最佳水平的最佳方法之一。
一次性电子邮件地址最好的一点是它会在一段时间后自毁。 因此,您可以使用这样的电子邮件地址向您的收件人发送私人消息,然后将其注销,这就是故事的结尾。
或者,如果您必须接收私人消息,只需将其发送到您可以访问的刻录机电子邮件地址,确保您有足够的时间阅读该消息,然后将其删除并不要担心它,因为该地址很快就会化为乌有。
您可以安全地使用一些刻录电子邮件服务,包括 Zmail 和 Guerilla Mail。 后者还包括一个密码管理器,因此您无需记住您可能创建的每个临时电子邮件地址的密码。
发送加密电子邮件——结论
考虑到所有因素,如果您怀疑有人窃听您与不同收件人的电子邮件交换,防止这种情况发生的好方法是加密您的电子邮件及其附件。
正如我们之前讨论过的,有很多方法可以解决这个问题,这些方法通常因设备/应用程序而异。 但是,一旦您了解了加密的工作原理以及实施它必须满足的要求,无论您使用的是 S/MIME、PGP/内联还是 PGP/MIME。