TL; DR - Zonder end-to-end-encryptie, zoals S / MIME of PGP, die wordt ondersteund en gebruikt door zowel afzender als ontvanger, is het een eerlijke vermoeden dat uw e-mail ergens onderweg is verzonden of opgeslagen in het duidelijke, of anderszins leesbare door een derde partij.

Ik denk dat u een aantal verkeerde opvattingen heeft over wat S / MIME en SSL / TLS zijn, of hoe ze werken.

S / MIME is een mechanisme om end-to-end berichtbeveiliging te bieden. Versleuteling, digitale handtekening, decodering en handtekeningverificatie worden allemaal gedaan op de eindpunten door de clientsoftware . De tussenliggende e-mailservers en serviceproviders hebben hier niets mee te maken, omdat de berichten net als alle andere worden doorgegeven. Verder, en misschien wel het belangrijkste, moet S / MIME worden ondersteund door zowel de verzendende als ontvangende clients om te kunnen werken. Dit gaat geen enkele e-mailprovider te garanderen.

Dat gezegd hebbende, ben ik niet op de hoogte van een gangbare freemailprovider (dwz: GMail, Yahoo, Hotmail) die momenteel S / MIME in hun browsergebaseerde clients. Zeker geen van hen is, en zou ook niet willen zijn, om het standaard in te schakelen.

De reden dat dit niet kan werken op het niveau van de serviceprovider is omdat beide eindpuntclients het protocol moeten ondersteunen. Aangezien de serviceprovider van de afzender geen controle heeft over de clientsoftware die door de ontvanger wordt gebruikt, zou het afdwingen van het gebruik van S / MIME op uitgaande berichten ertoe leiden dat veel (zo niet de meeste) ontvangers de e-mails van de afzender niet kunnen lezen.

De enige voorwaarden waaronder S / MIME werkt, zijn wanneer alle deelnemers aan het e-mailgesprek S / MIME-compatibele clients hebben en iedereen elkaars openbare sleutels heeft (en heeft geverifieerd). Nogmaals, dit is niet iets dat elke individuele e-mailserviceprovider kan beïnvloeden. Het is denkbaar dat ze dit tussen hun eigen gebruikers kunnen faciliteren, maar ze hebben niet dezelfde macht om e-mails te beschermen die naar / van externe eindpunten gaan.

SSL / TLS zijn technologieën die vaak worden gebruikt om communicatie te beveiligen. tussen clients en servers en van server-naar-server. Hier komen we echter weer in een vergelijkbare situatie terecht als bij S / MIME - beide partijen in het gesprek moeten het ondersteunen. Hoewel sommige serviceproviders dit kunnen doen, kan geen enkele serviceprovider u garanderen dat SSL / TLS wordt toegepast op elk bericht dat u verzendt, omdat ze geen controle hebben over wat de ontvangende server moet ondersteunen.

Aan behandel uw zorgen beknopter, punt voor punt:

1. Geen van bovenstaande gebruikt S / MIME. Hoewel het voor hen een leuke functie zou zijn om ondersteuning te bieden in hun webclients, zou het voor hen onhaalbaar zijn om te garanderen dat het voor alle ontvangers werkt. U kunt dit tot op zekere hoogte omzeilen door uw eigen e-mailclient met S / MIME-ondersteuning te gebruiken in plaats van de webinterfaces. Maar nogmaals, dit werkt alleen als u dit heeft gecoördineerd met uw beoogde ontvangers.

2. SSL / TLS wordt gewoonlijk gebruikt om de websessies te beschermen waarmee e-mails worden samengesteld , en de clientverbindingen waarmee ze worden verzonden. Het wordt ook gebruikt om server-naar-server-communicatie onderweg te beschermen, maar geen enkele serviceprovider kan garanderen dat de e-mailservers of client van elke ontvanger die bescherming gaandeweg zullen ondersteunen en behouden.

3. Veel providers gebruiken SSL / TLS, maar u moet zelf contact opnemen met die van u als u zich zorgen maakt. Nogmaals, dit kan echter niet garanderen dat uw e-mail wordt beschermd door verzending en opslag bij elke stap naar elke ontvanger.

4. Elke keer dat u e-mail verstuurt / ontvangt e-mail die niet wordt beschermd door S / MIME, PGP of een vergelijkbare end-to-end-coderingsoplossing, moet u ervan uitgaan dat het bericht is verzonden of opgeslagen in ongedrukte vorm of in een andere vorm die kan worden gelezen door een derde partij, ergens .

Het laatste punt heeft betrekking op een probleem dat ik nog niet heb aangepakt: e-mailopslag op de server. Alle e-mailserviceproviders moeten, door de aard van hun service, e-mails precies opslaan zoals ze zijn ontvangen of door een vorm van codering te gebruiken die ze zelf kunnen ongedaan maken. Anders kunnen ze de e-mail niet in een leesbaar formaat naar anderen doorsturen of aan u in uw webbrowser weergeven. Als u geen end-to-end-codering gebruikt, betekent dit dat uw e-mail effectief wordt opgeslagen. Dit maakt het kwetsbaar voor kwaadwillende insiders of iedereen die erin slaagt om uw e-mailaccount of de database van de server te hacken.

1. Nee
2. SSL wordt gebruikt, maar niet als vervanging voor S / MIME
3. Gmail, Yahoo en Hotmail geven je toegang tot je e-mail via SSL. En verzendt op dezelfde manier e-mails met SSL, maar alleen waar mogelijk . Het is moeilijk te zeggen of alle providers dit ook doen.
4. Vrijwel altijd . Het is erg moeilijk om de veiligheid bij deze providers te garanderen zonder iets bovenop te gebruiken, zoals PGP. Zeker als je verzendt van Gmail naar Gmail, is de kans groot dat het veilig is, maar geen garantie .

2 SSL wordt op twee manieren gebruikt en hoewel de providers redelijk consistent lijken te zijn in het gebruik ervan voor server-naar-clientcommunicatie, variëren ze het gebruik voor server-naar-servercommunicatie.

Ik heb enkele tests uitgevoerd en terwijl Gmail en Yahoo beide codering gebruiken als beide partijen dit ondersteunen, gebruikt Hotmail het nooit voor server-naar-servercommunicatie. Hierdoor verloopt de communicatie tussen Hotmail en andere internetproviders altijd in duidelijke tekst

1) Over het algemeen wordt S / MIME niet ondersteund door Gmail, Yahoo, enz. bij gebruik van hun webgebaseerde e-mailclient (d.w.z. naar www.gmail.com gaan). Als u S / MIME met deze services wilt gebruiken, moet u een e-mailclient van derden gebruiken (d.w.z. Mozilla Thunderbird, MS Outlook, enz.) En een manier hebben om uw openbare en privésleutels te beheren en te verspreiden. De reden dat het niet gemakkelijk is om S / MIME met Gmail enz. Te gebruiken, is dat de primaire bron van inkomsten voor deze bedrijven gerichte advertenties zijn. De belangrijkste informatiebron die wordt gebruikt om op die advertenties te richten, is de inhoud van uw e-mails. Als ze het u gemakkelijk maken om S / MIME te gebruiken voor end-to-end-codering (zodat ze uw e-mails niet langer kunnen scannen), ondermijnt dit hun primaire bron van inkomsten (informatie over u).

2) Ja, maar houd er rekening mee dat bescherming vaak gedeeltelijk of onvolledig is. Het feit dat de e-mailserviceprovider u toestaat om verbinding te maken via SSL / TLS, betekent niet dat ze SSL / TLS-verbindingen met andere e-mailserviceproviders ondersteunen. Zie 4) hieronder.

3) Nee , ~ 50% van de e-mails gaat naar of via providers die SSL / TLS niet ondersteunen. Ik geloof dat AOL pas in 2014 begon met het ondersteunen van SSL / TLS-verbindingen (via hun webgebaseerde e-mailclient). Zie 4) hieronder.

4) Onder normale omstandigheden zijn e-mails om verschillende redenen niet veilig. Ten eerste scant de e-mailprovider de inkomende en uitgaande e-mails om gerichte advertenties aan te bieden. Ten tweede ondersteunen ~ 50% van de tijd de verbindingen tussen de verschillende e-mailserviceproviders GEEN ENKELE codering, dus de e-mails die tussen deze providers reizen, moeten als platte tekst worden verzonden. U heeft geen controle over dit proces omdat het de verbinding tussen de providers is. Als u bijvoorbeeld een e-mail van uw Gmail-account naar een vriend met een Yahoo-account verzendt, moet de e-mail worden verzonden van de servers van Google naar de servers van Yahoo. De veiligheid van die verbinding hangt af van de bereidheid van Google en Yahoo om samen te werken. Ik geloof dat Google en Yahoo pas sinds kort gecodeerde verbindingen met elkaar ondersteunen. Google heeft daar in juni (2014) wat gegevens over geplaatst. U kunt de details hier lezen: http://googleblog.blogspot.com/2014/06/transparency-report-protecting-emails.html

Hoe vaak wordt SSL / TLS gebruikt door e-mailproviders?

Google biedt een aantal geweldige up-to-date statistieken over domeinen die gebruiken TLS om e-mail tussen hops te versleutelen.

http://www.google.com/transparencyreport/saferemail/