如何使用 iPhone 的郵件應用程序在 Gmail 中發送和接收端到端加密電子郵件

Gmail 默認對所有電子郵件使用 TLS 或傳輸層安全性，因此只要收件人也支持 TLS，您的所有電子郵件都將使用標準加密。但有一種方法可以進一步提高 Gmail 電子郵件的安全性，您可以使用 iPhone 上的郵件應用程序來執行此操作。

自十多年前的 iOS 5 起，Apple 就在 iPhone 上支持 S/MIME（安全/多用途互聯網郵件擴展）。S/MIME 是一種廣泛使用的加密協議，用於發送和接收數字簽名的加密消息，在 Gmail TLS 系統之上運行。S/MIME 類似於ProtonMail、 FlowCrypt和Hushmail使用的PGP或 Pretty Good Privacy 。

Gmail 使用的 TLS 對郵件服務器之間的隧道進行加密，使黑客更難竊聽或窺探傳輸中的郵件。郵件客戶端和郵件服務器之間的連接也是加密的。因此，只要您與電子郵件提供商使用 TLS 的某人進行通信，往返路由就是安全的。然而，電子郵件對雙方來說仍然容易受到攻擊。

為什麼應該對 Gmail 使用 S/MIME 加密

Gmail 可以並且確實會掃描您的電子郵件以獲取惡意軟件檢測、日曆集成和自動完成等智能功能，因此，如果電子郵件具有特別敏感的主題，您可能需要進一步保護它。Gmail 服務器有一天也可能會被攻擊者入侵，從而使黑客能夠訪問您的所有數據。

此外，黑客還可以物理訪問用戶的設備以搜索其電子郵件，或安裝惡意軟件以遠程查看電子郵件。他們甚至可以通過密碼破解、 社會工程和其他攻擊媒介直接攻擊用戶的電子郵件帳戶，以實現不受限制的訪問。

使用 S/MIME 時，您和收件人都使用 CA 證書對 Gmail 郵件進行端到端加密。要向他們發送加密電子郵件，您需要他們的公鑰，他們也需要您的公鑰才能向您發送安全消息。要讀取消息，每個人都使用與公鑰關聯的私鑰來解密內容。

Gmail 直接支持 S/MIME，但僅限於付費Google 工作，並且工作區管理員必須啟用此功能。您無法在個人 Gmail 帳戶上使用 Gmail 的 S/MIME 支持，這就是私有 S/MIME 證書發揮作用的地方。如果您有電子郵件地址的個人證書，則可以輕鬆在 iOS 郵件應用程序中設置 S/MIME。

請注意，此示例使用發件人和收件人的個人 Gmail 地址。在 Exchange 環境中，情況會有所不同，除非您正在與不使用 Exchange 的人交談。

第 1 步：獲取您的 Gmail 地址的 S/MIME 證書。

要使用 S/MIME，您需要來自 CA 的 S/MIME 證書。一般來說，S/MIME 證書需要花錢，但有些公司會頒發在有限時間內有效的演示或免費證書。如果您喜歡它的工作方式，您可以付費訂閱。例如，個人 GlobalSign S/MIME 證書每年的費用為 59 美元，但提供演示版本供嘗試。

在本教程中，我使用Actalis，因為它是少數提供免費一年期證書供個人使用的 CA 之一。根據其政策，您甚至可以在一年後重新申請新證書：

9.1 費用

根據本政策頒發的證書是免費提供的（即免費）。但是，每個唯一電子郵件地址每年最多接受 1 個證書請求。

您可以查看的其他 CA 包括SSL（20-30 美元/年）和Sectigo（13.99-39.99 美元/年）。您可以根據要求獲得免費試用或免費的有限證書。

步驟2在您的iPhone上安裝S/MIME證書

註冊個人 S/MIME 證書後，公司必須向您提供證書密碼，並通過電子郵件向您發送 PFX 文件（也稱為 PKCS #12）或包含 PFX 的 ZIP文件。PFX 文件是受密碼保護的證書存檔，其中包含帶有公鑰和私鑰的完整證書。將其保存到 iPhone 的“文件”應用程序中以便妥善保管。

然後根據需要解壓該文件並單擊 PFX 文件，該文件會將證書作為配置文件下載到您的 iPhone。單擊“配置文件已加載”消息上的“關閉”。然後打開“設置”並單擊頂部的“配置文件已加載”。（您也可以通過“設置”->“常規”->“VPN 和設備管理”找到它。）

然後單擊“安裝”，輸入​​您的 iPhone 密碼並再次單擊“安裝”。

現在根據提示單擊“安裝”。但是，在安裝之前，您需要輸入 CA 在您註冊證書時提供的密碼。單擊“下一步”，然後單擊“完成”。您現在應該會在 VPN 和設備管理設置中看到您的電子郵件地址作為配置文件。

步驟 3為您的 Gmail 地址啟用 S/MIME

您現在可以使用下載的證書激活 Gmail 電子郵件地址的證書。轉到“設置”->“郵件”->“帳戶”，然後選擇您的 Gmail 帳戶。然後點擊頂部的帳戶電子郵件地址並選擇更多。

這裡您需要轉到“簽名”和“默認加密”並啟用它們。前者會在您的電子郵件中添加經過驗證的簽名，以便收件人知道它來自您而不是其他任何人。第二個選項將盡可能對郵件應用程序中 Gmail 地址發出的所有外發電子郵件進行加密。如果您只是想讓收件人知道電子郵件確實來自您，請使用簽名但禁用加密。

回到“高級 Gmail 帳戶設置”，它應該對兩個選項都說“是”，或者至少對其中一個選項說“是”，具體取決於您想從中獲得什麼。

步驟 4：要求收件人完成步驟 1-3

這是一條雙向路，因此除非與您交談的人也擁有證書，否則您永遠無法使用端到端加密。一旦他們擁有了公鑰，你們都需要交換公鑰，因為他們會加密消息。然後，私鑰解密並從關聯的公鑰中讀取傳入消息。

第 5 步：交換公鑰

要求您想要使用端到端加密的人在郵件應用程序中設置證書後向您發送電子郵件。在您收到的電子郵件中，在“發件人”字段中點擊他們的姓名，該字段旁邊現在應該有一個藍色的勾號，這樣您就知道他們的簽名是有效的。在他們的聯繫頁面上，單擊“查看證書”，然後單擊“安裝”，然後單擊“完成”。

之後，向他們發送一封電子郵件，並要求他們執行相同的操作，將您的公鑰添加到他們的設備中。如果您看到一條“無法加密”消息，並帶有紅色掛鎖被劃掉，則在嘗試發送該消息後，您需要單擊“仍然發送”。您還可以單擊同一個掛鎖圖標來禁用加密，該加密將作為帶有您的公鑰證書的標準電子郵件發送。

步驟 6 發送和接收加密電子郵件

每當您想要向收件人發送端到端加密消息時，請創建一個新草稿並在“收件人”字段中添加他們的姓名。現在，您應該在其名稱旁邊看到一個藍色的掛鎖圖標，表示已啟用加密，並且窗口頂部應該顯示“已加密”。

如果您想發送常規消息，只需點擊“收件人”字段右側的藍色掛鎖圖標，這次加密將被禁用。您會知道，因為“已加密”將從頂部消失，並且掛鎖圖標將被劃掉。

如果您在“發件人”字段中看到郵件名稱旁邊的鎖定圖標，則表明您已成功加密收到的郵件。如果您只看到復選標記，則表示它已簽名但未加密。回復也將被加密，除非它們在每條消息的基礎上被禁用。

您可以通過點擊郵件的“收件人”或“發件人”字段中的對方姓名來檢查電子郵件狀態，您將在其證書中看到“已簽名”、“已加密”、“兩者”或“兩者都不是”。

步驟 7：在其他設備上安裝證書（可選）

如果您想從 iPad 或 Mac 上的“郵件”中讀取加密的 Gmail 電子郵件，您將無法執行此操作，因為它們無法解密。您需要在使用“郵件”的所有設備上安裝私鑰，以解密電子郵件。對於 iPadOS，該過程與上述相同。MacOS 有點不同，但設置起來非常直觀。

您還可以對非 Gmail 電子郵件地址（例如 Outlook、Yahoo、AOL 等）使用 S/MIME 證書，這樣您就不僅限於 Gmail 之間的安全通信。