电子邮件加密是否足够实用？

Question

我曾经发送过的所有电子邮件都是以纯文本形式发送的。就像明信片一样，前往收件人的每个人都可以轻松阅读和存储它们。这让我很担心。我知道隐私已成为过去，但加密电子邮件是可能的，至少在理论上是这样。但是，我想知道它是否足够实用。

有没有人有电子邮件安全方面的经验？容易设置吗？您仍然可以发送和接收来自所有朋友和熟人的电子邮件吗？

Answer 1

非常不幸：没有。

邮件加密通常是指公钥加密。这涉及收件人在某处发布公钥 - 这可用于加密电子邮件。该密钥然后有一个秘密对 - 一个可用于解密电子邮件的私钥。

为了使邮件加密实用，电子邮件客户端必须能够：

1. 发送邮件时，自动获取收件人的公钥对邮件进行加密。
2. 接收电子邮件时，从指定的服务器获取用户的私钥，最好是提供电子邮件服务的人（通常是ISP）。
3. 设置账户时，自动创建并存储私钥。

但这里更大的问题是基础设施。要做到这一点，必须有：

1. 一种广泛使用的发布与电子邮件地址相关联的公钥的标准方式（并且这种方法必须通过证书系统进行保护，以便第三方不能太容易地弄乱它）。
2. 一种广泛使用的标准方式，用于自动为电子邮件地址创建私钥并将其存储在可通过标准方式访问的远程服务器上。优选地，该服务器将是来自电子邮件提供商的正常服务的一部分。然后，该服务器的地址将作为电子邮件客户端帐户设置的正常程序输入，就像现在输入传入和传出电子邮件服务器一样，之后客户端可以处理所有麻烦的密钥。

另一个问题是大多数电子邮件客户端必须能够处理解密，并且大多数电子邮件提供商必须提供密钥服务，以使系统有效。加密需要通信两端的全力支持。但我不认为这是一个大问题。如果一些客户端和服务器上出现简单实用的标准，他们可以宣传“我们支持安全电子邮件标准”，而其他人可能会效仿。

此外，还必须通知用户是否有公钥可供接收者使用。一个好的方法是在添加收件人时，显示一个常见的安全符号，例如挂锁或与 Web 浏览器的 SSL/TLS 连接中使用的蓝色发光。

当然，备用私钥服务器，甚至只是一个密钥文件，可以配置到电子邮件客户端，以便更偏执的用户可以将他/她自己的密钥存储在任何他/她想要的地方。对于我们其他人来说，电子邮件提供商在存储私钥时仍然可以阅读电子邮件——但这仍然会使通信非常安全。毕竟，安全通常与我们可以信任的人有关。

老实说，我真的不知道为什么这还没有发生。没那么复杂。开始吧！

Answer 2

是的，很实用（PGP不是玄学），推荐使用。当然，您仍然可以发送和接收未加密的电子邮件。

如果您正在寻找免费、安全的基于 Web 的电子邮件服务，请注册Hushmail。

但是，如果每个人都这样做，某些 TLA 机构很快就会耗尽资金:)

Answer 3

在我看来，没有足够的人使用电子邮件加密来使其可用，除非在特殊情况下（或某些人群）。另一方面，签署您的电子邮件不会带来任何兼容性问题，因此如果您关心，这可能很有用。

加密最大的问题仍然是初始密钥交换。我不知道有谁从可用性的角度真正解决了这个问题。