Return to site

A biztonságos E-mail napjainkban

2017-es írás

Korábbi Blog oldalon már egyszer kifejtettem hosszasan, hogy miként áll az E-mail mint kommunikációs közeg szénája, ezt most átdolgozva megint leírnám. Sajnos sok minden nem változott az eltelt idő alatt.

Az E-mail-ről

Az E-mail jelen esetben nem más, mint egy képeslap. Amikor megírjuk akkor a címzett neve, E-mail címe, és a szöveg mind titkosítatlanul fog átmenni a levelező szerverünk és a cél levelező szerverünk között. Az utat sok router, switch és hálózati szegmensek között fogja megtenni villámsebesen. Minden ilyen fizikai eszköz és hálózatban látszódni fog mindenkinek minden belőle.

A levélhez csatolt képek, fájlok mind letölthetőek, átszerkeszthetőek, meghamisíthatóak.

A biztonságos levelezés

A biztonságos levelezés egyik formája, ha titkosítjuk a levelet. A levél elolvasásához azonban kell a kulcs, amivel a titkosítás megszüntethető. Ezt a célcímnek birtokolnia kell (sima levélben szokták átküldeni, de ez meg megint olyan eset, hogy így bárki megkapja – ennél jobb helyzet, ha személyesen egy adathordozón adjuk át), más esetben nem képes elolvasni a levél tartalmát. Ez a megoldás hétköznapi levelezéseinkre nem alkalmazható, mert napjainkban nincs az a hotel, online bolt, utazási iroda, aki kezelni szeretné a mi titkosítás utáni vágyunkat. Senki nem fog nekünk titkosított leveleket küldeni ilyen cégektől, ugyanis nem érdek a megléte, a cégek abban társak, hogy nem adják ki a náluk tárolt adatainkat másoknak (már ha ebben lehet bízni).

A német példa

A leveleink nem csak útközben, hanem a levelező szerverünkön is, a szolgáltatók 95%-ban titkosítatlanul vannak tárolva. Érdekesség pl.: a németországi ingyenes webes levelezőszolgáltatók, akik minden top secure üzemmódban kezelnek. Plusz szolgáltatásként a leveleinket vírusellenőrzik. Ez több okból aggályos, egyik, hogy próbálkozhatok olyan kód megírásával, ami vírusellenörzés közben nem bukik meg, tehát nem találja meg a cég által használt vírusirtó. A másik, hogy a víruskeresést nem lehet titkosított levélen elvégezni, ebből jön, hogy a levelek titkosítatlanul vannak tárolva (még akkor is, ha kikapcsoljuk a víruskeresést). A továbbítás a szerverek között a legnagyobb biztonságban történik, de a tárolás már nem.

A ProtonMail

Van olyan cég is amely titkosítottan tárolja a levelünket (nem tudunk mit tenni, el kell hinni), ilyen pl.: a ProtonMail (www.protonmail.com), ahol 2 jelszó megadása után tudunk a leveleinkhez hozzáférni. Tehát összességében van egy olyan postaládánk, ahová az érkező levelek tartalmát a posta a kézbesítési folyamaton kívül nem tudja elolvasni és nem tud benne matatni később sem.

Egy járható út

Pár dolog ami növelheti anonimításunkat:

  • Ne a nevünk legyen a felhasználónevünk (tehát kiss.pista@gmail.com), hanem valami nicknév (AmericaCaptain@gmail.com)
  • Ne adjuk meg valódi nevünket a regisztráció során (se a többi személyes adatainkat).
  • Készítsünk egy másik E-mail fiókot a Spamlevelek fogadására, ne szemeteltessük ezt szét (minden olyan regisztráció mehet a spamfiókunkba álnévvel, ami pl.: egy fájl letöltéséhez kellet, stb.).Mindenképpen titkosított tárolásra szakosodott levelező szolgáltatót használjunk (Protonmail.com)
  • Amennyiben tudjuk, beszéljük rá családunkat, barátainkat, hogy Ők is ezt használják (így a levéltovábbításhoz házon belül történik – nem járja be a fél Internetet).
  • A biztonság tovább növelése érdekében VPN-t is használhatunk a levelezőszerver eléréséhez, illetve ProxyChain megoldást nyomaink eltüntetése végett.

Sajnos a fenti elért anonimítás egy tollvonással tönkretehető, ha regisztrációhoz / rendeléshez megadjuk ezt a címünket. 100%, hogy rendelést visszaigazoló E-mail minden adatunkat tartalmaznia fogja (mely titkosítatlan formában fog a levelező szerverünkhöz eljutni és melyet bárki a továbbítás alatt "elolvashat"), amit aztán nem nehéz a címünkkel összekötni -> az anoním címünk már nem is anoním.

Cégeknek ajánlás

Életem során rengeteg E-Mail címet deanonimizáltam bambaság, figyelmetlenség miatt.

A mai napig nem tudom, hogy hogyan kellene rendesen kezelni az E-mailt, mint szolgáltatást, mert ha nincs akkor sok szolgáltatás elérhetetlen, de ha van, akkor jó pár személyes adatra is szükség van, amit a szolgáltató elvár, de figyelmetlen a kezelésével kapcsolatban.

Emiatt a szolgáltatóknak (mint pl.: online bolt) nem szabadna visszaigazoló E-mail-ben a személyes adatokat kiadni, hanem hivatkozni a megrendelésre, vagy egy linket mellékelni ahol a futó megrendelések megtekinthetőek (melyhez HTTPS bejelentkezés szükségeltetik – HTTPS nélkül az egész mit sem ér).