如何保障电子邮件的安全性

来源:http://eelab.nbu.edu.cn/zy/?p=100

一、我所有邮箱都是 Gmail 或 Google Apps 的,而且都是 IMAP,那么如果我用 Mail,是不是本身就有 SSL 加密了?

答:通过网页介面访问时,Gmail / Google Apps 的邮箱默认是加密的。如用电邮客户端软件访问,Gmail 的 IMAP 和 SMTP 协议都需要走加密通道,配置方法见此。另外,Gmail 也支持加密的 POP3 协议,虽然不推荐大家使用,但是如果你的客户端不支持 IMAP 的话,可以这样设置

二、在这种情况下,再加上 SSH 隧道 / SOCKS proxy,对加密性有无提高?

答:有提高。SSL 依赖于 Public Key Infrastructure, 这个东西有个致命的缺陷就是默认相信所有的 Certificate Authorities (CA)。问题出在哪里呢?提示:CNNIC 也是一个被接受的 CA。要了解详情可以看这里

如果你在 Mac OS X 的 Keychain Access.app 里手工移除了 CNNIC ROOT 之后,这个影响就要稍微小些。不过按照计算机安全的基本精神,还是先走 SSH 隧道再加密到 Gmail 保险。

三、有了一和二,还需要数字签名吗?(这里只谈邮件加密,先不考虑伪造身份的问题。)

答:需要。一、二和数字签名解决的是不同层级的问题。前两者只是解决你如何能够安全的连接到 Gmail 的服务器发送和接受邮件的问题,但是并不解决邮件通过 Gmail 服务器和你的收信人、发信人之间的通信的安全。例如,如果你通过 Gmail 给一个使用 163 邮箱的人发信,这过程中如果你的邮件没有加密或者身份验证,那么就有可能被窃听和伪造。

当然如果你发送的对方也是使用 Gmail 邮件服务,那么由于这个邮件中转不需要离开 Gmail 的数据中心,因此相对安全。但是邮件内容还是明文的(SSL 只是保证从你电脑发到 Gmail 服务器这段路程中是加密的),网页版 Gmail 因此才可以索引你的邮件内容提供 AdWords 侧边广告。

四、从加密的角度说,如果我的 Wi-Fi 已经是 WPA / WPA2 了,是不是就没有必要用 VPN 了?

答:有必要。WPA/WPA2 只保证你的电脑到路由器之间的安全连接,但是路由器到 ISP,再到互联网这段是不受保护的。有了 VPN,从你的服务器到你的电脑这整个过程都是加密的,风险少很多。

结论:

一、尽量用 Gmail,或是把你自己架的邮箱的后台程序换成 Google Apps。目前主流的免费邮箱里只有 Gmail 提供全站强制 HTTPS 加密。

二、如果你习惯用电邮客户端软件处理邮件,请到 Gmail 的 Settings >> Forwarding and IMAP/POP 里勾选「Enable IMAP」,并在客户端的设置里改用 IMAP。

三、不要将涉及机密内容的邮件发给任何国内邮箱,以及任何以 .cn 结尾的邮箱。你可以礼貌地向对方说明邮件的机密性,并问对方有没有 Gmail。

四、发送机密邮件时,打开 VPN 或 SSH 隧道 / SOCKS proxy。

五、最好再加上数字签名。

六、把家里的 Wi-Fi 密码改成 WPA / WPA2,不要使用 WEP 密码。

七、用没有密码的 Wi-Fi 信号时,一定打开 VPN 或 SSH 隧道 / SOCKS proxy。


—————————————————————————————————————————

需要翻墙利器? 请安装Wuala,查找和添加gfwblog为好友,就可高速下载翻墙软件,或访问http://tinyurl.com/gfwblog直接下载。

推特用户请点击这里免翻墙上推特

请点击这里下载翻墙软件

更多翻墙方法请发电邮(最好用Gmail)到:fanqiang70ma@gmail.com

请阅读和关注中国数字时代翻墙技术博客GFW BLOG(免翻墙)

请使用Google Reader订阅中国数字时代中文版http://chinadigitaltimes.net/chinese/feed),阅读最有价值的中文信息;以及GFW BLOG(功夫网与翻墙)http://feeds2.feedburner.com/chinagfwblog,获取最新翻墙工具和翻墙技巧信息。


发表评论