web-dev-qa-db-ja.com

安全なメール通信にはGmailと暗号化されたドキュメントの使用で十分ですか?

私の友人は、クライアントとドキュメントを交換するための最良の方法は何かと私に尋ねていました。

彼は、ドキュメントを電子メールで送信するだけで十分だと私に伝えようとしていたのですが、私は彼は正気ではないと言いました。唯一の解決策はPGPだと思います。これを行うには洗練された方法があるはずです。何かご意見は?

だから私は2つの質問があります:

  1. Gmailが悪い考えであることは正しいですか?彼はこれを読んだのはある専門誌で良い考えだと彼は主張した。

  2. 安全なポイントツーポイントメカニズムを実装できるサービスはありますか?

  3. PDFまたはOfficeの暗号化で十分でしょうか?

18
timpone

それは一種のあなたが保護しているものに依存します。

ウェブメールを保護するためにGoogle、Yahoo!などがどのような手順を踏んでいるかについての質問 をお読みください。

この質問 も見てください。これは、データの送信に関する代替ソリューションを提供します。私は、可能な場合はpgp/gpgを使用してメール送信前に暗号化するか、一部のクライアントではホストされた安全なメール(@Paulと同様)を使用する傾向があります。

接続はかなり安全に保護できますが、送信前にデータを暗号化しない限り、データは平文でGoogleのサーバーに常駐します。これは大丈夫かもしれませんが、そうではないかもしれません-それはすべて、それらのメッセージのデータがどれほど機密性が高いかに戻ります。

14
Rory Alsop

友人とそのクライアントの両方がgmailを使用している場合、セキュリティはそれほど悪くありません...ユーザーのマシンとgmail間のすべてのデータ転送はHTTPS経由で行われ、送信者と受信者の両方がgmailを使用する場合、メールはGoogleのマシンを離れません。したがって、Googleを信頼している限り、それで問題ありません。

「信頼」は厄介な言葉です。上記の段落では、Googleが自発的にメールの内容を開示していないこと、およびサーバーを保護する上で優れた役割を果たしていることを意味します(正直であると信頼し、有能であると信頼しています)。しかし、最終的には、あなたが信頼する人はあなたを裏切る力を持つ人です。

また、GoogleはGmailユーザーのメールをスキャンすることで知られているため、ターゲットを絞った広告を作成してユーザーに表示できます。これは、少なくとも理論的には、メールのデータが必要に応じてGmailサーバーから広告主に流れることを意味します。慰めの考え。

Gmailよりも機能を向上させるには、エンドツーエンドの暗号化が必要です。古典的な製品は S/MIME および [〜#〜] pgp [〜#〜] ;です。前者は主流の電子メールアプリケーションで直接サポートされていますが、X.509証明書が含まれているため、セットアップが面倒な場合があります。 PGPは通常アドオンを必要としますが、使いやすい傾向があります。ほとんどのウェブメールはS/MIMEまたはPGPと互換性がないことに注意してください。OutlookWeb Appは、クライアントシステムの特定のActiveXコントロール(もちろんWindows/IEのみ)でS/MIMEを実行できますが、他のほとんどのウェブメールシステムはできません。ある程度、PGP電子メールは、コピー&ペーストで転送することにより、外部で処理できます(PGP電子メールの通常の形式は「ASCII-鎧」で、プレーンテキストとして転送可能です)。

ワンショット通信の場合、パスワード付きのZipアーカイブを検討してください(パスワードは電話で交換されます)。古いZip実装では 弱いカスタムストリーム暗号 を使用していました(実際には、手作りのデザインを避けるべき良い例です)。新しいZipアーカイバ(少なくともWinZip 9.0以降)は、はるかに強力なAESを使用します。友達から尋ねられたときに、クライアントがインストールする準備ができているものにすべて要約されます。

7
Thomas Pornin

Mailvelope プロジェクトをご覧ください。これはGoogleのChrome Webメール用のOpenPGPの一部を実装する拡張機能です。UIはシンプルでクリーンです。

4
Troy J. Farrell

クライアントが会計士と通信するためにデバイスで暗号化システムを構成および管理する必要がないようにするために、 Accellion のような安全なファイルストアをオプションにすることができます。

これはウェブメールのように機能します。 Accellionポータルでメールを作成し、ファイルを添付して顧客に送信します。ファイル自体は送信されませんが、リンクに置き換えられます。顧客はメールを受け取り、リンクをクリックしてhttps経由でファイルをダウンロードします。

同様に、会計士のサービスを使用して、ファイルを会計士に送信できます(他の誰にも送信できません)。

4
Paul

Luxsci(電子メール暗号化プロバイダー)には同意しませんが、HIPAA準拠の暗号化レベルに必要なのはTLSだけです。私は会計士が彼らの業界を規制するためにどんな法律を持っているか知りません、しかしLuxsciは無料のTLSチェッカーを持っています: https://luxsci.com/extranet/tlschecker.html

業界固有の要件に基づいて決定を下します。暗号化が必要な場合は、smarsh、webroot、zixmailなど、使いやすい商用製品を検討することをお勧めします。ただし、トレンドマイクロは個人的な経験からの恐ろしい製品であり、ベンダーを切り替えたため、その問題。

追記:商用暗号化には、プッシュとプルの2つの主要な方法があります。

プッシュは、実際に暗号化されている添付ファイルを含む電子メールを送信し、ローカルでメッセージを復号化します。一部の企業や病院ではコンテンツを読み取れないため、これをブロックしています。できればこれを避けてください。

プルは、あなたがあなたのメッセージと添付ファイルを取得するためにあなたをウェブポータルに連れて行くリンクをクリックする電子メールを送ります。この手法では、ファイアウォールルールがトリガーされたり、配信方法が原因でブロックされたりすることはありません。

1
Brad

唯一の主流の電子メール暗号化標準は、PGPとS/MIMEです。どちらも機能し、どちらも効果的です。ただし、どちらもクライアント側であるため、ウェブメールインターフェースでは機能しません。実際、ウェブメールインターフェースで機能するメカニズムに遭遇した場合、そのセキュリティに非常に疑わしいはずです。

ほとんどのメールプロバイダー(GMailを含む)は、SMTPとともにIMAPまたはPOP3をサポートしています。これを使用して、メールボックスをThunderbirdなどのデスクトップメールリーダーに接続できます。次に、クライアント側の暗号化エンジン(enigmailや組み込みのS/MIMEユーティリティなど)を使用して、暗号化機能にアクセスできます。

明らかに、会話の両側で同じ暗号システムを使用する必要がありますが、常にそうです。また、これは本質的に不便であり、おそらく常にそうなります。

最後に、おそらく暗号化されたコンテンツを交換する最も簡単な方法は、添付ファイルとしてです。 7-Zipなどのツールを使用して、保護するコンテンツを含む暗号化されたパッケージを作成し、帯域外(音声または直接など)で事前に準備されたパスワードを使用します。

0
tylerl

Office暗号化(XML形式に移行したときに大幅に改善された)でさえ問題は-強力なパスワードを使用している場合、それはどのように共有されるのか?

オンプレミスでホストされている商用の安全なファイル交換システムを使用するのが簡単なオプションのようです。次に、SSLを使用して転送を暗号化でき、彼の顧客は暗号化に対処する必要がなくなります。オンプレミスまたは専用サーバー上にあるため、保存されたファイルにアクセスできる第三者は存在しません。

しかし、そうすることによって、彼はそのシステムを管理し、安全に保つことができなければならないことを覚えておいてください。それもリスクです。

クライアントベースの暗号化を備えたDropboxのようなサービスであるSpideroakやWualaなどを検討する価値があります。

ただし、会計士として、クライアントにソフトウェアのインストールを依頼する必要はありません。つまり、基本的には、Megaなどのサイトが最適ですが、現在よりもセキュリティに重点を置いています。ブラウザでJavascriptを介してクライアント側の暗号化を行うため、適切なコードをブラウザに配信するには信頼する必要がありますが、理論上はシステムに保存されているものを復号化できません。

0
Guillaume

私も同じような状況にあります。 すべてのスキルレベルのエンドユーザーで普遍的に受け入れられる唯一のオプションは、暗号化された.Zipファイルのファイルを添付ファイルとして送信することでした。 Linuxでは、Zip-eフラグを使用してこれらのファイルを簡単に作成できます。

$ touch foo.txt

$ Zip -e foo.Zip foo.txt 
Enter password: 
Verify password: 
  adding: foo.txt (stored 0%)

$ ls | grep foo
foo.txt
foo.Zip

$ file foo.Zip 
foo.Zip: Zip archive data, at least v1.0 to extract

$ unzip foo.Zip 
Archive:  foo.Zip
[foo.Zip] foo.txt password: 
password incorrect--reenter: 
replace foo.txt? [y]es, [n]o, [A]ll, [N]one, [r]ename: y
 extracting: foo.txt

WindowsのユーザーまたはLinuxのグラフィカルインターフェイスを使用する(KDE、Unity、Gnome)は、ファイルを右クリックしてZipから[暗号化]オプションを選択することにより、暗号化された.Zipファイルを作成し、復号化できます。ダブルクリックするだけです。

enter image description here

0
dotancohen

他の回答と同様に、GmailはHTTPSを使用しているため、比較的安全です。つまり、TLSを介してメールを暗号化します。追加のセキュリティ層が必要な場合は、それがPGPの目的です。 Googleのようなものを使用することをお勧めしますChrome FlowCryptと呼ばれる拡張機能です。これはChromeの拡張機能であり、Gmailと完全に連携します( https: //flowcrypt.com/ )セットアップは非常に簡単で、Gmailとの統合はスムーズです。私は試してうまく使用しています。モバイルプラットフォームで使用する場合は、FlowCrypt用のアプリもあります。

ProtonmailやOpenPGPなど、PGPを使用する他のソリューションを探索することもできます。プライベートキーではなく、公開キーのみをメールの相手に共有するようにしてください。秘密鍵は誰とも共有しないでください。

0
warfreak92

よくGmailはどこでもhttpsを使用するので、送受信は安全でなければなりません。私は彼らが優れたプライバシーポリシーを持っていると信じているので、グーグルの従業員がスパイになったり、誰かが誰かのメールアカウントのパスワードを解読したりした場合に、追加のセキュリティが必要だと言っていますか?前者はあなたが望むとは思わないが、後者は2段階認証で解決できる。

あなたは本当にもっと必要ですか?あなたがそうし、従業員がスパイになるか、グーグルがハッキングされ、あなたのメール/ファイルがコピーされると信じているなら、必ずpgpで暗号化してください

0
user5575