通信パートナーに日常生活で暗号化を使用するように説得するにはどうすればよいですか？

Question

最新の開発により、基本的にすべての通信チャネルを簡単に盗聴できることが非常に明確になりました。しかし、ほとんどの人はまだこの事実を無視していると思います。特にビジネスでは、ほとんどの機密情報が完全に暗号化されずに送信されます（少なくとも私の会社では）。人々はリスクに気づいていないのか、暗号化を使うのをためらっているのだろうか。

すべてのメールで、GPGキーIDを記載したメール署名を使用しています。たぶん私がそれをする理由を理解している人はほとんどいないでしょう。今、私は次のような文を追加することでさらに進んで意識を高める必要があるかどうか疑問に思っていました：

暗号化されていない電子メールは簡単に傍受され、第三者によって読み取られる可能性があることに注意してください。機密情報を送信するには、私の暗号化（GPG）キーを使用してください。

人々は気になりますか？
リスクについて人々に啓蒙すべきでしょうか？
暗号化されていない（メール）通信のリスクを簡単な言語で説明している優れたウェブサイトをご存知ですか？メールへのリンクをメールの署名に挿入します。例。

AJ Henderson · Answer

問題は、リスクをそれほど意識していないことです。電子メールが傍受される可能性があることをまだ知らない人が多いのではないでしょうか。電子メールを侵害するために必要なリソースの量は依然として比較的多く、脅威は非政府組織によってそれほど深刻であるとは見なされていません。

ほとんどの人は、政府が自分たちの電子メールにアクセスできるかどうか、特に機密性の高いものにさえ、特に気にしません。彼らの生活に有害な影響を与えることはなく、現実的に彼らの生活に有害な影響を与える可能性のある多くの可能性もありません。

一方、暗号化を使用しようとすると、学習し、適切に使用するために、さらに調査、時間、労力が必要になるため、有害な影響があります。それは単にほとんどの人にとって賢いトレードオフではありません。脅威は小さすぎ、それを回避するためのコストは大きすぎます（そして、私は、大多数の人にとっては当然のことですが）。

暗号化された電子メールに添付するのではなく、安全なファイル共有サイトにファイルをアップロードするなど、ユーザーが使用できるパスワードなどを電子メールで送信しないという意識が高まっています。これは必ずしもセキュリティを意識しているからというわけではありません。電子メールが添付ファイルを特にうまく処理しないため、簡単なのです。

失敗の代償を伴う現実的で測定可能な脅威がない限り、コストがかからない脅威から身を守るためにコストを支払うことは、リソースのバランスをとるのに良い方法ではありません。セキュリティは保険によく似ています。それは、妥協の潜在的なコストから身を守るためのコストのバランスを取ることであり、ほとんどの人にとって、暗号化された電子メールは、延長保証を購入することに少し似ています。それはあなたがおそらく必要としないか、または使用しないであろう保護のためにお金を払い過ぎです。

user2313067 · Answer

問題のほとんどは、平均的なユーザーがPGPを使用するのがまだ容易ではないという事実にあると思います。

コンピューターとThunderbirdやOutlookなどのメールクライアントを使用する場合、一部のプラグインは存在しますが、UIを保証できません。私が見つけたOutlookプラグインはHTMLではなくプレーンテキストの暗号化のみをサポートしており、ほとんどの企業は署名にロゴを含めることを好み、そのプラグインの使用を不可能にしています。

ほとんどのユーザーが自宅で使用しているGmail、Yahoo、Outlook.comなどのウェブメールの場合、実用的な解決策は知らないため、ThunderbirdやOutlookなどに切り替えるように説得する必要があります。

スマートフォンでは解決策をまったく知らないので、人々は自分の電話を使って電子メールを読んだり送信したりできなくなります。

さらに、電子メールは通常、州にリンクしたWebページほど安全ではありません。ほとんどの場合、クライアントとメールサーバー間でTLSが使用されると、ネットワーク上の他のユーザーはあなたの電子メールを読み取ることができず、TTYツリー受信者のネットワーク上の他のマシンは読み取ることができません。ほとんどの場合、2つのメールサーバー間のネットワークを操作しているユーザーだけがメールを読むことができますが、通常、ユーザーのメールはそれほど興味深いものではありません。マシンまたは受信者の任意のものもアクセスできますが、電子メールを暗号化すると、マシンで復号化されるため、これは事実です。

lorenzog · Answer

短い答えは：誰も気にしない。リスクは、すべての人の生活から離れすぎているため、暗号化されていない電子メールを使用した場合の結果を電子メールで交換するすべての人が十分に理解していない限り、彼らが必要とする余分な距離は役に立たないと認識されません。経験則として、祖母にそうするように説得することができない場合（または叔母、または技術的に家族の知識がない人）、おそらく試す価値はありません。

セキュリティは使いやすさを犠牲にして行われることを忘れないでください。すべての電子メールプログラムがデフォルトでシームレスに暗号化しない限り、電子メールのセキュリティはすぐには発生しません。これには、Webメールと、今日の市場で入手可能な多数のオペレーティングシステム、クライアント、ハードウェア、およびユースケースが含まれます。

さらに、だれもがデフォルトで電子メールを暗号化したとしても、質問に含意する特定の3文字の機関のような資金のある攻撃者は、他の弱点（クライアントアプリケーションの脆弱性など）に集中するだけです。最近見たように（誰かに心を打たれましたか？）、暗号の背後にある数学が安全であっても、そのソフトウェアの実装は大量の攻撃に対して脆弱である可能性があります。

それにもかかわらず、組織内になんらかの制御がある場合は、ポリシーを設定し、準拠していない人に罰を適用することで、これを施行することができます。ただし、これによってexternal電子メールが暗号化されないようになることはありません。または、Skype経由で話す人々。

最後に、あなたが提案しているような署名が良いスタートになるかもしれません。誰かが機密情報を送信したい場合は、その方法を明確に述べます。そのように変更します。

電子メールは簡単に傍受され、第三者によって読み取られる可能性があることに注意してください。機密情報を送信するには、GPG4WinやGPGToolsなどのGPGをサポートするソフトウェアを使用してください。私のGPGキーフィンガープリントはXX XX XX XX XX XX XXです

Electronic Frontier Foundationには、常に良い資料がわかりやすい言葉で記載されています。

YetAnotherRandomUser · Answer

OPは電子メールを特定の例としてリストしているため、電子メール以外の例を提供します。

より多くの消費者が通信するためにテキストメッセージングと音声通話を使用しています。少なくとも私は仕事の外にいます。したがって、それらの通信を保護するアプリは、私が送信するもののほとんどをカバーします。クロスプラットフォームであり、これを促進するための良い血統を持ついくつかのアプリがあります。

私は一部の人々にこれらに切り替えるよう説得することに成功しました。私もスイッチの代金を支払うことを申し出ますが、誰も私にそれを取り上げませんでした。ほとんどの人はそれに断固として反対しているわけではありませんが、気になりたくないだけです。安全でないユーザーへの安全でないトラフィックを大幅に減らしました。

携帯電話のトラフィックを保護することについて心に留めておくべきことは、ユーザーが電話を切り替える驚くべき頻度です。アップグレード、損傷など。これらの暗号化/認証キーは失われ、ユーザーは気にしません。

信号

信号は、安全な音声とSMSのようなメッセージを使いやすく、ユーザーが自由に利用できるようにするための取り組みです。それは株式メッセージングアプリを置き換え、他のSignal/RedPhoneユーザーに追加の暗号化されたVoIP通話を提供します。これは無料で、ストックアプリのように見え、複雑な設定が必要なため、他の消費者には比較的簡単に売り込むことができます。 SignalはRedPhoneとTextSecureの合併です。

Threema

Threemaは、Signal/TextSecureより前のクロスプラットフォームで利用可能でした。 Signal/TextSecureがAndroidに搭載される前に利用可能だったと思います。これは暗号化されたメッセージングプラットフォームであり、彼のポッドキャストセキュリティのエピソード409でGRCのスティーブギブスによって現在承認されています。ただし、コストは$ 2.49で、強力な認証があり、セットアップはかなり複雑です。お互いの電話でバーコードをスキャンします。 Android=の場合は比較的簡単ですが、iOSの場合は常に課題です。

あなたの補助的な質問に行く：

人々は気になりますか？
リスクについて人々に啓蒙すべきでしょうか？
暗号化されていない（メール）通信のリスクを簡単な言語で説明している優れたウェブサイトをご存知ですか？メールへのリンクをメールの署名に挿入します。
1. いいえ、一般的ではありません。しかし、ほんの少しだけが断固として反対されます。
2. ある程度。トピックをブローチし、それを彼らの頭の中で煮詰めさせ、彼らが始めるのを助けるように提案します。
3. 下記参照。

私は、ミームを使用するか、説明のためにサードパーティを参照して、より多くの成功を見つけます。この方法では、ゲームのスキンが少なくなり、バーニースタイルを分解しながら、知識の豊富な実体のように見せかけることができます。

The EFF -この種のものに専用のページがあり、「なぜ気にする必要があるのか？」セクション。これは、メールの署名にリンクするのに適したページです。

EFF監視自己防衛

メールに戻ると、この質問が出されて以来、進展がありました。私は同様の質問をするつもりだったのでここにいるので、それを具体化して[〜＃〜] [〜＃〜]Q＆A。

暗号化されたメール、特にGMailのオプションがいくつかあります。ウェブメールセッションで暗号化することもできます！

SuperUserに関するこの質問は、いくつかの拡張機能を含め、プロセスを説明するいくつかの良い答えがあります
このワイヤード記事が提供する 2014年の安全な電子メールの状態
このHowtoGeekの記事にはいくつかの選択肢があります

GMailが拡張機能なしでメールをネイティブに暗号化できるという新機能については何も見つかりませんでした。何か間違ったニュースを覚えているのだろうか。 GMailには、GMail Web GUIに組み込まれた1クリックボタンという新機能があり、メッセージを暗号化されたものに変更すると思っていました。

非技術系ユーザーが簡単に初期設定、メンテナンス、および移行を行えるようにすることで、牽引力を獲得し始める最も簡単な方法です。テクニカルユーザーとして、私はPGPが複雑なプロセスであることを知っているので、PGPを延期しました。どうやらずっと簡単になりましたので、私自身のコミュニケーションのためにこれを再訪するかもしれません。