这是一个创建于 246 天前的主题,其中的信息可能已经有所发展或是发生改变。
很多人可能没有意识到,电子邮件客户端是支持加密的!例如 Thunderbird 邮件客户端,iOS 邮件客户端,以及 Outlook 邮件客户端!都可以很轻松支持邮件数字签名和加密!
具体用法是这样的:
首先用户本地生成私钥和包含自己邮箱地址信息的 CSR ,将 CSR 提交到 CA 申请一个电子邮件证书公钥,然后将私钥和证书公钥导入电子邮件客户端,搞定。
接下来,可以将你的证书公钥,以包含电子邮件数字签名的方式发送给接收方邮箱。
接收方拿到你的公钥后,就可以将他要发送的明文信息用你的证书公钥进行加密,然后在通过邮件服务器发送给你。
这样就完成了电子邮件加密传输,实际操作起来并不复杂。
有没有发现通过邮件客户端点到点加密传输有很多优点:
1 、加解密操作在邮件客户端实现。(要做到电子邮件客户端软件可靠,比选一个放心的聊天软件要容易吧!)
2 、网络上传输(邮件服务商看到)的只有密文和证书公钥。
3 、随便一个支持邮件客户端的服务商就行,自建邮件服务器也可以。
4 、通过邮件服务器中转,而不是客户间点到点传输,不会泄露邮件双方 IP 。(除非邮件服务器主动暴露)
5 、配置好后,发送加密邮件和发送普通邮件操作几乎一致,使用极为简便。
缺点就是:一开始准备数字证书是个麻烦事!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
题外话:总有人说,哎呀公钥交换的时候被人替换,做手脚了怎么办,怎么怎么的!既然是公钥,那就是可以公开传输的,我可以通过不同渠道多份传输比对,总不能所有渠道你都截取替换了吧!
具体用法是这样的:
首先用户本地生成私钥和包含自己邮箱地址信息的 CSR ,将 CSR 提交到 CA 申请一个电子邮件证书公钥,然后将私钥和证书公钥导入电子邮件客户端,搞定。
接下来,可以将你的证书公钥,以包含电子邮件数字签名的方式发送给接收方邮箱。
接收方拿到你的公钥后,就可以将他要发送的明文信息用你的证书公钥进行加密,然后在通过邮件服务器发送给你。
这样就完成了电子邮件加密传输,实际操作起来并不复杂。
有没有发现通过邮件客户端点到点加密传输有很多优点:
1 、加解密操作在邮件客户端实现。(要做到电子邮件客户端软件可靠,比选一个放心的聊天软件要容易吧!)
2 、网络上传输(邮件服务商看到)的只有密文和证书公钥。
3 、随便一个支持邮件客户端的服务商就行,自建邮件服务器也可以。
4 、通过邮件服务器中转,而不是客户间点到点传输,不会泄露邮件双方 IP 。(除非邮件服务器主动暴露)
5 、配置好后,发送加密邮件和发送普通邮件操作几乎一致,使用极为简便。
缺点就是:一开始准备数字证书是个麻烦事!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
题外话:总有人说,哎呀公钥交换的时候被人替换,做手脚了怎么办,怎么怎么的!既然是公钥,那就是可以公开传输的,我可以通过不同渠道多份传输比对,总不能所有渠道你都截取替换了吧!
 |
1
billlee 246 天前
对的,除了这个 CA 体系,还有另一个 PGP 体系。
|
 |
2
busier OP |
|
3
billlee 246 天前 via Android
@busier PGP 也是用于邮件的。你说的是那种方式是 S/MIME. 公钥的可靠性不是按你说的什么不同渠道传输对比,而是靠 CA 根证书的签名。PGP 不使用 CA, 而是靠使用社交网络的签名。
|
 |
4
YamatoRyou 246 天前
说些题外话:
电子邮件现在的面貌已经不足以讨好大多数人. 电子邮件在中国的普及率远不如即时通信. 不过有 Delta Chat 这种试图打破两者界限并在安全配置的易用性做出一定程度的改进. 我的一点拙见, 认为的电子邮件较即时通信 (微信; QQ; Telegram 等同类软件阵营) 的几个缺点: 对传输特别大的文件不宽容 (但能以外链的形式解决, QQ 邮箱的解决方案是 "文件中转站"); 时效性不如即时通信, 也就是说双方交流在大多数时候不是即时的, 宏观上难以在使用时长方面留住用户; 视觉体验方面, 不如即时通信的各种客户端能做到高度粘性; 花哨的互动; 没有在线状态. 另外某些即时通信软件也有自己的端到端加密实现, 比如能像电子邮件一样能自建的 Matrix 协议 (但不止这一种, Rocket Chat 和新兴的 VoceChat, 还有很多就不一一列举). |
 |
5
troilus 246 天前
自建 CA 用 S/MIME 不错, 特别是在 iPhone 设备,自带的邮箱 APP 就支持。
Thunderbird 邮件客户端 和 mailvelope 浏览器插件使用 PGP 也很舒服。 |
 |
6
Jirajine 246 天前 via Android
传统邮件加密配置使用都很麻烦,autocrypt 标准 https://autocrypt.org/dev-status.html
可以很好地解决这个问题,只要双方的邮件客户端都支持,自动协商密钥启用端到端加密,无需任何配置。 |
 |
7
caomingjun 246 天前 via Android
最大的问题是身边的人觉得没必要用这些端到端加密技术。我发布了自己的 gpg 公钥,从来没人给我发过加密邮件;我的常用联系人多数根本不发布公钥,我唯一一次发加密邮件是向开源项目的开发者发送程序漏洞。
|
 |
8
jlmzzz 246 天前  3
说到这个不得不推荐下 DeltaChat ,用了很久了 https://delta.chat/
|
 |
9
yinmin 246 天前 via iPhone
有很多坑,目前好像就 ca 公司员工坚持使用,其他公司已经很少有用了。
|
 |
10
duke807 246 天前 via Android 1
|
|
11
duke807 246 天前 via Android
我收发邮件只用网页在线操作
|
 |
12
agagega 246 天前 via iPhone
邮件搭配 PGP 只能说通用和比较方便,之前看到一篇批评 PGP 的文章,除了部分实现上的问题外,还有就是 PGP 没有前向安全性。不过按照我的理解,定期换密钥应该可以解决这个问题…
|
 |
13
iminto 246 天前 via Android
我们是软件公司,强制所有邮件必须使用 S/MIME 加密和签名。第一次配置好后就无感了,也算方便易用
|
 |
14
xiaozecn 246 天前
以前科摩多为个人提供 S/MIME 证书,后来把这个业务卖了。现在 actalis 可以提供一年的免费个人邮件证书。
|
 |
15
Al0rid4l 246 天前
所以很多记者和线人就是通过邮件沟通啊
|
 |
17
ddggdd 245 天前 via Android
deltachat
|
 |
18
xausky 243 天前
邮件不是一个即时通信协议就注定他难以代替即时通信软件,人们需要的是一个端到端加密的即时通信软件,邮件是轮训的,哪怕轮训间隔很短也并非即时。
|
|
19
busier OP @xausky 要找个:客户端开源,服务端开源,可以自建服务器,非对称加密且加密算法可靠,客户端支持 WIN/LINUX/MAC/IOS 等各种平台、的端到端即时通信软件,难度似乎比较大!
|
 |
21
basncy 242 天前
@busier #19 https://github.com/BelledonneCommunications 客户端 WIN/LINUX/MAC/IOS ,服务端 flexisip 可自建,非对称加密且加密算法可靠(tls/srtp/zrt/dtls/lime(付费)),端到端(sip 协议,可跨域 @通信, 类似邮件地址).
|
 |
22
lifansama 240 天前 via Android
@jlmzzz 请问国内有哪些邮箱支持 delta chat ,之前试过 163 好像不行。QQ 企业邮箱也不行,提示
错误:could not read INBOX status: failed to select or create folder INBOX: failed to select folder INBOX with error other than NO, not trying to create it: IMAP other error: io: Error |
Select Language