是否可以使用通用的端到端加密电子邮件(甚至是可取的)? - 沐鸣娱乐新闻 - 沐鸣官网资讯 - 沐鸣网络电子科技有限公司

全国统一热线:0755-29925678

沐鸣娱乐新闻

沐鸣平台资讯

行业动态

沐鸣相关新闻

是否可以使用通用的端到端加密电子邮件(甚至是可取的)?

浏览次数:858日期:2019-05-13小编:颐生堂

欢迎访问沐鸣娱乐登录网址www.huayu21.com,人们希望他们的电子邮件在他们和收件人之间是私密的,但实际上,电子邮件的内容在传输过程中会暴露出来。完整的端到端加密意味着只有电子邮件的接收者才能解密他们的消息,但共享公钥并就普通加密标准达成一致对大多数用户来说都是棘手的。此外,如果电子邮件通信在整个路径上完全加密,那么中间的服务(例如Gmail或Office 365)就无法检查垃圾邮件,自动将电子邮件分类到文件夹中,或提供全文搜索。


除非该平台与公司的电子邮件网关,防火墙和数据丢失防护系统集成,否则端到端电子邮件加密还可能阻止企业监控可疑流量。 “现在,很多公司都没有处理加密电子邮件的解决方案,”Marsh Risk Consulting的网络安全实践负责人Tom Fuhrman说。


因此,今天大多数企业使用加密电子邮件要么在企业内,要么用于特殊目的,例如前往中国或东欧。当来自加密的企业电子邮件平台的消息被发送给外部用户时,接收者通常获得到安全在线服务的链接,在那里他们可以阅读该消息。


可用性问题只是战斗的一部分。竞争服务已经创造了特别高价值的利基,而这些利基可能是由端到端加密电子邮件服务的。


非电子邮件替代品

端到端加密电子邮件的一个潜在用途是医生,银行和律师向其客户发送敏感文档。通过普通电子邮件发送这些文件存在安全风险,但在许多受监管行业中也违反合规性。通常,让这些用户注册加密的电子邮件服务是不可能的。


相反,机构通常使用第三方文件共享解决方案。 DocuSign是需要签名的文档最受欢迎的服务之一。该公司拥有超过30万商业客户,在188个国家拥有超过2亿用户。收件人会收到一封电子邮件,其中包含指向DocuSign网站的链接,他们可以在其中进行身份验证,然后可以轻松阅读和签署文档。 DocuSign符合美国Esign法案的法律要求,以及其他国家的类似法律,该公司声称其签名从未在世界任何地方的任何法院被成功否定或质疑。


当文档不需要具有法律约束力的签名时,有许多在线文档共享站点,如Box,提供企业级安全性和身份验证。与DocuSign一样,收件人会收到包含指向共享文档或文件夹的链接的常规电子邮件。


如果通信不涉及文档但只需要简短,安全的消息,那么新的移动优先消息传递平台如Whatsapp和Signal将从一开始就采用端到端加密。


对于担心黑客收听传输中的邮件的公司而言,大多数主要电子邮件提供商目前都支持SSL或TLS,以确保通信在传输过程中加密。此外,Gmail和Office 365等主要服务还为静态数据提供加密。


“当实际传输是明文时,它[端到端电子邮件加密]非常有意义,”BeyondTrust,Inc。技术副总裁助理Morey Haber说道。“现在大多数传输都是加密的,你已经淘汰了整个用于[端到端]加密的用例。“


对于出国旅行或从公共wifi热点登录的商务用户,安全VPN是用于保护其通信的标准工具。


最后,只需要向某人发送单个加密文件的用户只需在桌面上加密即可。例如,在Windows上,他们只需打开文件的属性并启用加密即可。然后他们可以将文件作为附件发送给他们的朋友,并通过电话或短信告诉他们密码。


加密的电子邮件系统公司使用

一些公司仍然使用端到端电子邮件加密来向客户传达敏感信息或进行内部通信。他们要么为现有的企业电子邮件平台使用加密附加组件,要么使用新的基于云的服务。通常,端到端加密仅用于消息子集,通常与数据丢失防护工具结合使用,或用于特别敏感的项目。


“我希望如果你与中国或东欧进行了很多沟通,你将会大量使用ProtonMail,”Enderle Group的首席分析师Rob Enderle说。 “在任何一种环境中,政府都在关注通信,像ProtonMail这样的东西或端到端的方案会更安全,因为政府无法让他们放弃密钥。”


他说,特别是与那个在该国没有大量业务的提供商合作是有意义的,因为如果确实如此,政府可以依靠提供商,实际上是持有赎金投资。事实上,中国和俄罗斯最近都在打击VPN服务提供商,苹果今年夏天被迫从中国的App Store删除VPN应用程序。


在其他国家/地区,法院可能要求电子邮件服务提供商转交客户数据。例如,电子邮件提供商Lavabit在美国政府下令将其加密密钥交给Edward Snowden的电子邮件后,于2013年停止服务。今年,Lavabit重新推出了一种新的端到端加密系统,其中只有客户而非电子邮件供应商拥有密钥。

是否可以使用通用的端到端加密电子邮件(甚至是可取的)?

总部位于瑞士日内瓦的ProtonMail创始人兼首席执行官Andy Yen证实,电子邮件提供商可以访问邮件的恐惧正在推动一些企业用户使用完全加密的平台。 ProtonMail是最大的端到端加密电子邮件提供商之一。该公司声称拥有超过20,000名付费客户,大多数是中小型企业,总计超过300万用户。


这是一个基于云的服务,可以通过浏览器或移动应用程序访问,但实际的加密和解密发生在客户端设备上。这意味着ProtonMail本身无法读取电子邮件,即使由法院下令,也无法将其转发给任何人。


加密也是GDPR合规性的一部分,通用数据保护法规将于明年在欧洲生效,而在医疗行业,它也是HIPAA合规性要求。 “医疗保健是我们在企业方面最大的部分,”Yen说。


与其他平台一样,如果收件人不是ProtonMail用户,他们将通过电子邮件发送链接,他们可以使用这些链接访问安全的在线服务。 “加密不是自动的,你必须交换密码,”Yen补充道。 “有时银行会在帖子中,亲自或在单独的电子邮件中发送密码。我们已经看到了所有不同的可能性。”


由于ProtonMail本身无法读取消息,因此电子邮件平台无法提供全功能云电子邮件客户端的所有功能。例如,用户无法搜索邮件正文,只能搜索邮件的主题行,发件人,收件人和时间。


其他企业平台专注于桌面客户端,从而提供更大的灵活性。其中包括赛门铁克公司,该公司称其拥有“数百”企业客户的端到端电子邮件加密产品。用户可以通过Web浏览器和Outlook附加组件在移动设备上访问该平台。 “对于那些在桌面客户端上进行电子邮件加密的人来说,他们可以在自己的桌面上搜索他们的电子邮件,”赛门铁克首席产品经理Kathy Kriese说。


她补充说,对于面向外部的网关电子邮件产品,情况并非如此。 “这实际上并不能让人们轻松地进行搜索,”她说,“他们必须看一下消息。是的,这可能具有挑战性,但无论如何它往往是低容量的通信。“


支持Outlook桌面客户端的另一家供应商是Zix Corp.,该公司声称拥有19,000个客户和330万用户。 ZixMail使用相同平台为收件人和发件人提供完整的端到端加密,或者当收件人不是客户时提供云门户。此外,Zix还提供过滤器,以便公司可以自动将一些电子邮件端到端加密,其余电子邮件正常发送。


“我们绝大多数的商业用户都在医疗保健和财务垂直领域,”Zix首席执行官David Wagner说。如果电子邮件包含患者记录,则会自动通过加密频道。 “这为敏感的个人信息提供了非常重要的保护,这是我们的主要用例,”他说。


看不到互操作性

端到端电子邮件加密存在许多标准,但到目前为止,没有一个标准已经达到供应商的临界质量。以赛门铁克。 Symantec的Kriese表示,它支持S / MIME和PGP / MIME加密。这并不意味着系统可以轻松地与其他供应商的系统互操作。


“当你谈论合作伙伴时,它确实变得更具挑战性,”她说。 “你可以有一对一的关系。这可以做到。我们甚至提供了全局目录,人们可以将他们的公钥放入存储库,以便其他人可以搜索它们。但是来回获取密钥是一个挑战。”


不同的平台使用不同的方法来管理加密密钥,还有其他需要解决的簿记类型的问题供供应商进行互操作。 “即使拥有世界上最好的意愿,标准也会破裂,因为供应商的实施方式略有不同,”Constellation Research公司副总裁兼首席分析师Steve Wilson说。


卡内基梅隆大学(Carnegie Mellon University)人机交互研究所副教授杰森·洪(Jason Hong)表示:“人们一直在讨论如何将加密技术加入电子邮件数十年之久,而且由于兼容性问题,它仍然没有起飞。”另外,您已经有了当前安装的基础对您不利。 “通过电子邮件,你必须说服很多人同时升级,”他说。 “当电子邮件是在70年代发明的时候,很多加密技术都不为人所知,CPU的功能并不是那么好,”他说。


今年早些时候,谷歌开放了自己的端到端电子邮件加密方法E2EMail。 Pund-IT公司的首席分析师Charles King说:“通过开源技术,他们可以轻松获取技术,并希望围绕加密创造一些需求和动力,为人们采用行业标准提供服务。”这就是主意。 “我没有看到任何广泛采用谷歌加密的迹象,”金说。


即便谷歌本身也没有使用它。三年前,该公司表示它将在Chrome扩展程序中使用E2EMail,以便在浏览器中无缝加密和解密Gmail邮件,但这并未实现。


谷歌确实加密了传输中的电子邮件,虽然电子邮件保存在其服务器上,但它需要能够读取邮件以过滤我们的垃圾邮件和网络钓鱼攻击,过滤和搜索电子邮件,当然,我的用于营销数据。


“我们永远不会真正拥有广泛的端到端加密电子邮件,”Open Crypto Audit Project的主管Kenneth White说。 纯粹的内部电子邮件加密系统可以拥有尽可能多的保护和内置的监督,如公司所希望的那样。 “但是只要你与第三方系统进行互动,你就会有一个电子邮件地址,”他说。 “你必须考虑列表中的每个人是否都拥有相同的系统,而这绝对是绝大多数组织的首选。”


他说,默认为电子邮件中的链接可以将外部收件人带到安全网站。 “但那时它是一个网络应用程序,它是一个网站。它不是电子邮件。我一个人,以及安全领域的其他人,没有看到任何类型的[一般用途]加密电子邮件。”

关注沐鸣官网,获取更多最新行业资讯。


如果你对我们的服务感兴趣,可以给我们留言,我们会第一时间联系您。

扫描关注微信

Copyright © 2017 沐鸣网络科技有限公司 版权所有