Kdysi jsem jako spoluautor napsal knihu o podnikovém e-mailu, ve které jsem přirovnal šifrování e-mailů k „ošklivé ráně v hrudi“. Bylo to v roce 1997, kdy jste si museli veškerou správu šifrovacích klíčů zajistit sami – a to bylo, řekněme, přinejmenším odrazující.
I když se situace od té doby výrazně zlepšila, šifrování poštovních zpráv stále není tak jednoduché, jak by mohlo být, a vyžaduje důkladné studium, chcete-li získat skutečně soukromou komunikaci, kterou nedokážou vaši konkurenti či vládní instituce sledovat.
V minulosti museli příjemci šifrovaných e-mailů používat stejný systém jako odesílatel a mnoho e-mailových klientů bylo v tomto směru obtížné nakonfigurovat.
V současné době nabízí mnoho produktů funkci „šifrování s nulovými nároky na znalosti“, což znamená, že můžete odeslat šifrovanou zprávu i tomu, kdo vámi vybranou šifrovací službu nepoužívá.
K dešifrování zpráv a k napsání odpovědí postačuje poskytnout heslo a v některých případech lze zprávu přečíst jen na základě autentizace, tedy prokázání své identity. Po prvotním navázání komunikace dokáže příjemce celkem snadno komunikovat prostřednictvím šifrovaných zpráv.
Kromě nulové potřeby znalostí šifrování usnadňují moderní produkty zasílání a přijímání zpráv, takže s pomocí modulů plug-in pro aplikaci Outlook a pro prohlížeče je potom šifrování podobně snadné jako stisk jednoho tlačítka.
Všechny testované produkty mají vylepšenou kontrolu nad přenosem zpráv, jako jsou nastavení data vypršení platnosti, možnost odvolat nepřečtené zprávy a zabránit jejich přeposílání, jakmile je příjemce přečte. To vše jsou dobrá znamení, že šifrování konečně dospělo.
Zůstal zde však jeden problém: Způsoby využití e-mailů se také vyvinuly a jsou složitější. Někteří z nás střídají klienty ve stolních počítačích i mobilních zařízeních a také používají jako e-mailového klienta webové rozhraní.
Někteří lidé upřednostňují aplikaci Outlook a mnoho organizací závisí na serverech Microsoft Exchange a také existují desítky poskytovatelů hostovaných e-mailových služeb založených na službách SaaS – jako jsou například Google Apps nebo Office 365.
To znamená, že jakékoliv šifrovací řešení musí pokrýt různé případy použití a různé koncové klienty. Navíc zde stále existuje velký nezájem koncových uživatelů o šifrování zpráv, přestože jim není neznámá sága Snowdena a další poučení o potřebě udržovat zabezpečenou komunikaci.
Pro analýzu současného stavu dostupných řešení jsme otestovali sedm produktů a zjistili, že spadají do tří funkčních skupin.
První jsou hostované e-mailové služby, které využívají komplexní šifrování přenosů zpráv. Obvykle se přitom k zabezpečenému zasílání a příjmu e-mailů používá webový klient daného poskytovatele.
Pokud už používáte hostovanou e-mailovou službu, bude nutné tohoto poskytovatele nahradit jednou z těchto služeb. V této kategorii jsme testovali Hushmail a ProtonMail.
Hushmail již existuje více než deset let, zatímco ProtonMail je relativně nový a stále je v rozšířené betaverzi. Tato kategorie je atraktivní pro menší sítě a místa s okamžitou potřebou šifrování a požadavkem rychlého zavedení.
Druhou skupinou jsou pak brány (gatewaye) pro šifrování e-mailů. Ty byly prvním druhem šifrovacích produktů a stále je lze na trhu nalézt. Vyžadují speciální moduly plug-in nebo servery umístěné v interní infrastruktuře, nakonfigurované za ochranným firewallem s přístupem k vašemu hlavnímu e-mailovému serveru. Do této kategorie patří produkty Datamotion SecureMail a HP Voltage SecureMail.
Tyto brány nabízejí velkou kontrolu nad způsobem zpracování e-mailů, nad případným přechováváním částí zpráv v místních úložištích zařízení i nad možnými způsoby obnovení hesel.
I když je to přitažlivé, s veškerou touto kontrolou přichází také větší náročnost správného nakonfigurování. A to je důvod, proč o tyto gatewaye klesá zájem, zejména nyní, když existuje tolik dalších možností.
Brány jsou stále užitečné pro firmy, které se buď zdráhají využívat cloud, nebo mají specifické důvody týkající se dodržování předpisů pro šifrování své e-mailové komunikace, jako jsou například makléři a zdravotnictví.
A konečně třetí skupinou jsou řešení založená výhradně na koncových klientech, která rozšiřují existující desktopový software pro e-maily, jako jsou například Outlook nebo Apple Mail.
Jde typicky o přídavné nástroje šifrující zprávy pomocí existující e-mailové infrastruktury. Do této kategorie patří Tutanota, Virtru a AppRiver.
Tato řešení jsou oblíbená ve firmách, které používají celou řadu e-mailových klientů a nechtějí rychle nasadit službu univerzálního šifrování nebo nemohou snadno vyměnit části své e-mailové infrastruktury (viz prezentace těchto produktů).
Existuje mnoho dalších šifrovacích služeb, které jsme netestovali, a to ze dvou důvodů. Zaprvé mnoho z nich je podobných službě ProtonMail, ale nabízejí jen šifrování osamocených poštovních schránek a nejsou vhodné pro celopodnikové nasazení.
Zadruhé několik dlouho na trhu působících dodavatelů šifrování se testu nechtělo zúčastnit, a to včetně dodavatelů bran jako Symantec (PGP) nebo ZixCorp.
Vítězové a poražení
Vzhledem k rozmanitosti situací v oblasti e-mailů a typů produktů jsme nemohli zvolit celkového jednoznačného vítěze. Každý z těchto produktů však může být velmi užitečný pro odpovídající situace.
Produkt Tutanota zatím i přes přítomnost některých inovativních funkcí nemůžeme doporučit do doby, než dostatečně dozraje.
Pokud budete využívat pro své e-maily server s internetovými standardy IMAP/SMTP, potom pro vás bude asi nejlepší volbou použít Hushmail nebo Virtru.
Hushmail používá kombinaci různých oborových standardů šifrovacích technologií k přenášení e-mailů z desktopu přes internet. Virtru má zase svůj vlastní ekosystém a sadu doplňků pro aplikaci Outlook, prohlížeče a Gmail, které mohou chránit vaše zprávy.
Pokud používáte MS Exchange nebo IBM Notes, může být lepším řešením Datamotion s jeho vlastní branou. Je ze sedmi testovaných produktů nejdražší, ale nabízí velkou flexibilitu konfigurace.
Voltage je také dobrou alternativou založenou na bráně gateway, pokud potřebujete velký rozsah kontroly pro správu e-mailových přenosů, a může fungovat na serverech platforem Linux i Windows.
Pokud nechcete nasadit šifrování pro každého a chcete tuto možnost poskytnout jen několika zaměstnancům nebo máte-li systém založený na protokolu POP, potom se podívejte na řešení AppRiver.
Jeho zajímavost je mimo jiné způsobená schopností zvládnout přílohy s velikostí až 5 GB, zatímco většina ostatních produktů dokáže zvládnout jen malé přílohy.
Přestože se ProtonMail hodí zejména pro jednotlivce, je ukázkou toho, co současná úroveň soukromí a paranoie dokáže udělat pro zajištění produktu se snadno použitelným šifrováním.
I když jeho uživatelské rozhraní zaostává za některými vyzrálejšími produkty, má několik funkcí, které je dobré prozkoumat, včetně výchozího dvojitého šifrování zpráv a způsobu, jak dokáže automaticky upozornit nové korespondenty na čekající šifrované zprávy.
Tento příspěvek vyšel v Security Worldu 3/2015.Oproti této on-line verzi je mnohem obsáhlejší a přináší další poznatky a tipy, které lze využít při praktické implementaci u vás ve firmě.
Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.
PŘEDPLATNÉ
ČLÁNKY DO MAILU