我们中的许多人曾以为我们蹩脚的 Gmail 密码足以保户我们的电子邮件账户不被窥探。(我用了一个字母、一个数字和一个符号!) 但随着美国国家安全局(NSA)可以几乎随意要求任何电子邮件服务提供商交出我们电子邮件中有价值的私密信息的消息曝光,人们越来越关注加密安全电子邮件服务的来源。
过去一周,两家最知名的安全电子邮件公司——Lavabit 和 Secret Circle——为了不被迫遵守现实或潜在的(具有法律约束力的)NSA 请求,已自愿关闭。我们猜测,Lavabit 在收到法律要求交出信息后关闭了。Lavabit 发布了一则消息,称创建者“无法合法地分享”关闭的原因,但他选择关闭并删除所有数据,而不是屈服于政府的要求。Secret Circle 并未收到请求,而是“看到了形势不妙”,并自愿删除了所有内容。
那么,现在你可以使用什么来收发安全电子邮件呢?
电子邮件加密相当复杂,但基本上可以归结为一点:电子邮件基本上是不安全的。你可以通过免费和付费服务采取措施来保护自己,但美国政府已经表明了其强迫像爱德华·斯诺登使用过五年的 Lavabit 这样的传奇安全电子邮件服务关闭的意愿。如果你真的疑神疑鬼,以下是你的选择。
即时通讯
在安全领域,即时通讯(通常被称为“同步通信”)出人意料地比电子邮件更安全。这里推荐的方案是 OTR,即“阅后即焚消息”。OTR 被设计用于提供元数据的不可否认性,这意味着与许多不太安全的电子邮件不同,即使你 somehow 得到了聊天记录,也无法证明确切的通信双方是谁。每条消息都使用 AES 密钥进行高度加密,这意味着任何黑客都必须解密每条消息才能获得整个对话——而解密一个 AES 密钥的任务就足以让一个黑客团队忙活了。OTR 也相当易于使用;你可以为流行的聊天客户端(如 Adium、Pidgin 和 IM+(后者需要额外付费)获取插件。
回到电子邮件
但是,好吧,假设你需要异步通信,这意味着你必须发送一条消息,接收者稍后才能打开。有办法让电子邮件极难破解,尽管美国拥有要求提供元数据的法律权力,这给整个设置带来了真正的麻烦。不过!仍然有一些付费电子邮件提供商(现在大多位于美国境外),它们使用强大的安全技术,如 OpenPGP 和公钥加密,并承诺不会让政府窃取你的数据。
公钥加密是大多数安全数字消息背后的基本思想。每个用户有两个密钥:一个公钥和一个私钥。它们在数学上是相关的,但仅仅通过公钥几乎不可能找出私钥。想象一下你有一个盒子。只有你拥有打开它的钥匙。但你可以把这个未上锁的盒子寄给任何人,所以它是公开的,他们可以放任何他们想要的东西在里面。然后那个人锁上盒子,这样即使他们也无法打开它。他们把锁好的盒子寄回给你,你用你的私钥打开它。如果你想回复,你必须用他们的未上锁的盒子做同样的事情。最大的好处是,你永远不需要与任何人分享你的密钥。
OpenPGP 是一个使用公钥加密的软件;它是免费使用的(因此称为“Open”),并且在各种平台上都可用。它负责密钥的创建和认证等。PGP 代表“Pretty Good Privacy”(非常好隐私),这听起来并不那么令人鼓舞,但它是世界上使用最广泛的加密标准。
GnuPG: GnuPG 是 OpenPGP 的一个非常流行的免费实现。你可以使用 GPG 和各种前端作为插件,通过你选择的电子邮件程序(从 Apple Mail 到 Outlook 再到 Gmail)加密你的电子邮件。但它们需要一些设置,并且有一些付费服务可以为你处理所有事情,并提供高级功能,如隐藏 IP 地址、在一段时间后销毁文件以及在更友好的国家进行异地存储。对于那些能够弄清楚如何使用它们的人来说,这是一个非常受欢迎的选择;例如,这是这个 Slashdot 帖子上最受欢迎的推荐。
但是!假设你还没有准备好设置自己的电子邮件加密,那么你应该寻找使用 OpenPGP 的电子邮件服务。以下是一些选项:
Countermail: Countermail 是一项付费服务,其服务器位于瑞典。它使用 OpenPGP,但也提供一些高级选项,如硬件 USB 密钥,这样在没有插入 USB 驱动器到计算机的情况下,没有人甚至无法开始电子邮件处理。Countermail 在发送电子邮件时也不使用任何硬盘——实际上它们使用 CD——因此你的 IP 地址不会被记录下来。不过,它并不便宜;你可以按套餐购买,最便宜的是 24 个月 100 美元。
Bitmessage: Bitmessage 是一项较新的服务,以比特币的风格创建。它也使用公钥加密,但当你发送电子邮件时,它会将你的邮件与所有其他正在发送的电子邮件混合在一起,使得中间人几乎不可能弄清楚邮件是从哪里发送的。它们也没有关于收件人的信息,因此每封单独的邮件都包含正在通过 Bitmessage 传输的所有其他邮件的数据。然而,收件人的密钥只会检索到他或她收件箱中预期的邮件。邮件也不会被存档;为了避免有海量的旧邮件四处漂浮,需要一直下载,邮件会在两天后删除。它完全是去中心化的,这可能是害怕政府的人的最佳选择。政府会向谁发出请求?没有人负责!
NeoMailbox: NeoMailbox 总部设在瑞士,是一家像 Countermail 一样的传统付费服务。它使用 OpenPGP 加密,但也提供一些不错的服务,例如可以选择自己的域名或使用无限数量的临时电子邮件地址。它也可能是最容易使用的;它可以集成到许多现有的邮件服务中,如 Thunderbird、Outlook,甚至有一个 Android 应用程序。根据你需要多少存储空间,NeoMailbox 的价格从每年 50 美元(1GB)到每年 110 美元(10GB)不等。
Hushmail: Hushmail 可能是 Lavabit 和 Secret Circle 最为人熟知的替代品。它也有免费版本,至少提供一些基本功能,这相当不错。免费用户可以获得 OpenPGP 加密、25MB 存储空间、任何你想要的域名和一个不错的基于 Web 的服务。花一点额外的钱可以获得更多存储空间并隐藏你的 IP 地址。但 Hushmail 一直存在争议;它总部位于温哥华,并且过去曾根据不列颠哥伦比亚省政府的要求交出记录。Hushmail 表示不会响应外国请求,但为了安全起见,我建议选择其他服务。
另一个有趣的可能选择是 Pond,这是一种异步通信服务,其消息在打开一周后过期, no exceptions。但它还没有准备好;它的创建者说,“天哪,拜托现在不要将 Pond 用于任何重要的事情。”但它很有前途。
