個人的なメールホスティングは本当に安全ですか?
私の友人の一人は彼自身の個人的な電子メールホスティングを持っています。議論のために、それが「安全」であると仮定しましょう。これは、第三者がハッキングまたはバックドアを介して彼のサーバーの電子メールを読むことができないことを意味します。
これは、政府のメール監視システムが本当に彼のメールを読むことができないことを意味しますか?確かに、彼の電子メールの会話が、電子メールホスティングサービスが侵害された特派員とのものである限り、侵害された特派員からの彼のすべての電子メールをたどることができるかもしれません。
個人用の(そして安全な)個人用電子メールホスティングシステムは、政府による盗聴からの保護ですか?
いいえ、それはあなたがそれを構成できるのと同じくらい安全です、そしてあなたが言うようにエンドポイントは安全ではないかもしれません。セキュリティを確保したい場合は、pgp/gpgでメールを暗号化する必要があります。
議論のために、エンドポイントが安全であっても、政府が輸送中に電子メールを傍受するのを阻止しているのは何ですか? PGP/GPGは、輸送中に電子メールを傍受する問題を解決します。ただし、セキュリティは、電子メールサーバー自体またはパーソナルコンピューターに格納されている秘密キーのセキュリティに依存します。
PRISMの場合(私がそのような懸念を引き起こしていると思います)、データ自体だけでなくメタデータも非常に重要であり、多くの情報が漏洩する可能性があります。 PGP/GPGは電子メールの内容を保護できますが、ヘッダーは保護できないため、送信者と受信者は明確になります。これらを暗号化することはできません。そうしないと、SMTPサーバーが電子メールをルーティングできないためです。また、電子メールサーバーを個人的にホストしている場合は、IPアドレスが電子メールヘッダーにも漏洩します。
それは常に敵の能力にかかっています。あなたが政府について話しているなら、それは打ち負かすのが難しい敵です。電子メールサーバー自体を保護する必要があります。PGP/ GPGキーが保存されているサーバーを保護する必要があります。自分のサーバーだけでなく、受信者のサーバーも保護する必要があります。また、最新のパッチをサーバーにインストールするだけでなく、データ(電子メール)が政府にとってこれだけの価値がある場合は、ゼロデイ攻撃に対処する必要があります。
要するに、パーソナルホスティングの方が優れているかどうかを判断する前に、まずリスク評価を必ず行ってください。 「リスクには脅威、資産、影響、および制御が含まれます。4つすべてについて話していない場合は、何かについて話していますが、リスクではありません。」