Gmail по умолчанию использует TLS или безопасность транспортного уровня для всех сообщений электронной почты, поэтому все ваши электронные письма будут использовать стандартное шифрование, если получатели также поддерживают TLS. Но есть способ еще больше повысить безопасность вашей электронной почты Gmail, и вы можете использовать для этого приложение Mail на своем iPhone.
Apple поддерживает S/MIME, или безопасные/многоцелевые расширения интернет-почты, на iPhone начиная с iOS 5 более десяти лет назад. S/MIME — это широко используемый криптографический протокол для отправки и получения зашифрованных сообщений с цифровой подписью, работающий поверх системы Gmail TLS. S/MIME похож на PGP или Pretty Good Privacy, которые используют ProtonMail, FlowCrypt и Hushmail .
TLS, используемый Gmail, шифрует туннель между почтовыми серверами, из-за чего хакерам становится труднее подслушивать или отслеживать сообщения в пути. Соединение между почтовыми клиентами и почтовыми серверами также шифруется. Поэтому, пока вы общаетесь с кем-то, чей поставщик электронной почты использует TLS, маршрут туда и обратно безопасен. Однако электронная почта остается уязвимой с обеих сторон.
Почему вы должны использовать шифрование S/MIME для Gmail
Gmail может и действительно сканирует ваши электронные письма на наличие интеллектуальных функций, таких как обнаружение вредоносных программ, интеграция с календарем и автозаполнение, поэтому, если электронное письмо имеет особенно важную тему, вы можете дополнительно защитить его. Серверы Gmail также могут быть однажды взломаны злоумышленниками, что может дать хакерам доступ ко всем вашим данным.
Кроме того, хакер может получить физический доступ к устройству пользователя для поиска его электронной почты или установить вредоносное ПО для удаленного просмотра электронной почты. Они даже могут атаковать учетную запись электронной почты пользователя напрямую с помощью взлома пароля , социальной инженерии и других векторов атак для беспрепятственного доступа.
При использовании S/MIME и вы, и получатель используете сертификат ЦС для сквозного шифрования сообщений Gmail. Чтобы отправить им зашифрованное электронное письмо, вам нужен их открытый ключ, а им нужен ваш открытый ключ, чтобы отправлять вам защищенные сообщения. Чтобы прочитать сообщения, каждый из вас использует свой закрытый ключ, связанный с открытым ключом для расшифровки содержимого.
Gmail напрямую поддерживает S/MIME, но только для платных вакансий Google , и администратор рабочей области должен включить эту функцию. Вы не можете использовать поддержку S/MIME Gmail в своей личной учетной записи Gmail, и здесь в игру вступает частный сертификат S/MIME. S/MIME легко настроить в приложении iOS Mail, если у вас есть персональный сертификат для вашего адреса электронной почты.
Обратите внимание, что в этом примере используются личные адреса Gmail как для отправителя, так и для получателя. В среде Exchange все будет по-другому, если только вы не общаетесь с людьми, которые не используют Exchange.
Получите сертификат S/MIME для своего адреса Gmail
Чтобы использовать S/MIME, вам нужен сертификат S/MIME от ЦС. Как правило, сертификаты S/MIME стоят денег, но некоторые компании выпускают демонстрационные или бесплатные сертификаты, действительные в течение ограниченного времени. Если вам нравится, как это работает, вы можете оплатить подписку. Например, персональный S/MIME-сертификат GlobalSign стоит $59 в год, но предлагается попробовать демо-версию.
В этом руководстве я использую Actalis , потому что это один из немногих центров сертификации, который предлагает бесплатный годовой сертификат для личного использования. Вы даже можете повторно подать заявку на новый сертификат через год в соответствии с его политикой:
9.1 Сборы
Сертификаты, выпущенные в рамках этой политики, предоставляются бесплатно (то есть бесплатно). Однако на один уникальный адрес электронной почты принимается не более 1 запроса сертификата в год.
Другие центры сертификации, которые вы можете проверить, включают SSL (20–30 долларов в год) и Sectigo (13,99–39,99 долларов в год). Вы можете получить бесплатную пробную версию или бесплатный ограниченный сертификат по запросу.
Установите сертификат S/MIME на свой iPhone
После того, как вы подпишетесь на получение личного сертификата S/MIME, компания должна предоставить вам пароль для сертификата и отправить вам по электронной почте PFX-файл, также известный как PKCS #12, или ZIP-файл, содержащий PFX. Файл PFX представляет собой защищенный паролем архив сертификатов, содержащий полный сертификат с открытым и закрытым ключами. Сохраните это на свой iPhone в приложении «Файлы» для сохранности.
Затем разархивируйте файл, если это необходимо, и щелкните файл PFX, который загрузит сертификат в виде профиля на ваш iPhone. Нажмите «Закрыть» в сообщении «Профиль загружен». Затем откройте «Настройки» и нажмите «Профиль загружен» вверху. (Вы также можете найти его через «Настройки» -> «Основные» -> «VPN и управление устройствами».)
Затем нажмите «Установить», введите пароль своего iPhone и снова нажмите «Установить».
Теперь нажмите «Установить» в подсказке. Однако, прежде чем вы сможете установить его, вам нужно будет ввести пароль, который ЦС предоставил вам при подписке на сертификат. Нажмите «Далее», затем «Готово». Теперь вы должны увидеть свой адрес электронной почты в качестве профиля конфигурации в настройках VPN и управления устройствами.
- Не пропустите: удалите ненужные профили и сертификаты на вашем iPhone, чтобы защитить вашу конфиденциальность и безопасность
Включите S/MIME для своего адреса Gmail
Теперь вы можете активировать сертификат для своего адреса электронной почты Gmail, используя загруженный сертификат. Перейдите в «Настройки» -> «Почта» -> «Учетные записи» и выберите свою учетную запись Gmail. Затем коснитесь адреса электронной почты своей учетной записи вверху и выберите «Еще».
Здесь нужно перейти в «Подписать» и «Шифровать по умолчанию» и включить их. Первый добавит проверенную подпись к вашему электронному письму, чтобы получатель знал, что оно исходит от вас, а не от кого-либо еще. Второй будет применять шифрование, когда это возможно, ко всем исходящим электронным письмам с адреса Gmail в вашем почтовом приложении. Если вы просто хотите, чтобы получатели знали, что электронное письмо определенно от вас, используйте подпись, но отключите шифрование.
Вернувшись в Дополнительные настройки учетной записи Gmail, он должен сказать «Да» обоим параметрам или, по крайней мере, одному или другому, в зависимости от того, что вы хотите получить от этого.
Попросите получателя выполнить шаги 1–3.
Это улица с двусторонним движением, поэтому вы никогда не сможете использовать сквозное шифрование, если у человека, с которым вы разговариваете, также нет сертификата. Как только они получат его, вам обоим нужно поменять местами открытые ключи, потому что они будут шифровать сообщения. Затем закрытый ключ расшифровывает и считывает входящие сообщения из связанного открытого ключа.
Поменять местами открытые ключи
Попросите человека, с которым вы хотите использовать сквозное шифрование, отправить вам электронное письмо после того, как он настроит свой сертификат в приложении «Почта». В полученном электронном письме коснитесь их имени в поле «От», рядом с которым теперь должна быть синяя галочка, чтобы вы знали, что их подпись действительна. На их странице контактов нажмите «Просмотреть сертификат», затем «Установить», затем «Готово».
После этого отправьте им электронное письмо и попросите их сделать то же самое, чтобы добавить ваш открытый ключ на свое устройство. Если вы видите сообщение «Невозможно зашифровать» с красным перечеркнутым замком, вам нужно будет нажать «Все равно отправить» после того, как вы попытаетесь отправить его. Вы также можете щелкнуть тот же значок замка, чтобы отключить шифрование, которое будет отправлено в виде стандартного электронного письма с вашим сертификатом открытого ключа.
Отправляйте и получайте зашифрованные электронные письма
Всякий раз, когда вы хотите отправить получателю сквозное зашифрованное сообщение, создайте новый черновик и добавьте его имя в поле «Кому». Теперь вы должны увидеть значок синего замка рядом с их именем, указывающий, что шифрование включено, и в верхней части окна должно быть написано «Зашифровано».
Если вы хотите отправить обычное сообщение, просто коснитесь значка синего замка справа от поля «Кому», и на этот раз шифрование будет отключено. Вы узнаете, потому что «Зашифровано» исчезнет сверху, а значок замка будет перечеркнут.
Вы узнаете, что полученные сообщения были успешно зашифрованы, если увидите значок замка рядом с их именем в поле «От». Если вы просто видите галочку, это означает, что файл был подписан, но не зашифрован. Ответы также будут зашифрованы, если они не отключены для каждого сообщения.
Вы можете проверить статус электронной почты, коснувшись имени другого человека в поле «Кому» или «От» сообщения, и вы увидите «Подписано», «Зашифровано», «оба» или «ни один» в его сертификате.
Установите сертификаты на другие устройства (необязательно)
Если вы хотите читать зашифрованные электронные письма Gmail из Mail на своем iPad или Mac, вы не сможете этого сделать, потому что их нельзя расшифровать. Вам необходимо установить закрытый ключ на все устройства, которые вы используете с Почтой, которая расшифровывает электронные письма. Для iPadOS процесс аналогичен описанному выше. MacOS немного отличается, но довольно интуитивно понятен в настройке.
Вы также можете использовать сертификаты S/MIME для адресов электронной почты, отличных от Gmail, таких как Outlook, Yahoo, AOL и т. д., чтобы вы не ограничивались безопасным обменом данными между Gmail.