La posta ordinaria o la posta elettronica HTTPS sono più sicure per le informazioni sensibili?

Naviga le tue risposte
5

Ultimamente sono stato curioso della sicurezza della posta elettronica. Per quanto ne so, il punto di comunicazione più vulnerabile è la rete locale da cui si invia la posta. Questo a meno che tu non stia cercando di mantenere le cose da un governo, che potrebbe usare leggi, molte risorse e possibilmente tecniche avanzate di spoofing SSL. Ma la posta ordinaria non è sicura.

Detto questo, sarebbe più sicuro inviare dati sensibili a un'istituzione tramite posta ordinaria o utilizzando la webmail HTTPS? Mi rendo conto che inviare i tuoi dati direttamente al sito HTTPS dell'istituto è più sicuro di entrambe queste cose, ma consente di limitare questa domanda alla posta ordinaria e ai servizi di webmail comuni abilitati per HTTPS. L'e-mail dovrà viaggiare su Internet; in altre parole non è un messaggio Hotmail-to-Hotmail.

Mi chiedo in particolare su quanto sia probabile che il tuo messaggio venga intercettato e letto da qualcun altro.

    
posta Pieter 20.11.2012 - 21:47
fonte

5 risposte

5

In termini di probabilità che il tuo messaggio venga intercettato, la webmail è sicuramente più vulnerabile. Non necessariamente per una ragione speciale, solo che il numero di potenziali avversari è più alto. È difficile per una persona malintenzionata dall'altra parte del mondo raggiungere l'ufficio postale locale e strappare la corrispondenza, ma non è difficile spiare il traffico di posta elettronica se sai da dove proviene.

In termini assoluti, tuttavia, la possibilità che un singolo messaggio venga intercettato è bassa. Non posso parlare per il resto del mondo, ma i processi di posta degli Stati Uniti sono ~ 554 milioni di mail al giorno . È improbabile che una persona malintenzionata casuale si attacchi casualmente al tuo messaggio.

L'e-mail è piuttosto più prolifica. Una stima 2010 ha registrato una produzione mondiale di e-mail a ~ 90 trilioni per anno. Riducendo il 90 percento di questo dato che lo spam lascia ancora ~ 9 trilioni di dollari l'anno. Anche tenendo conto di una grande percentuale di quella comunicazione interna che non vede mai Internet, si tratta di un gran numero di messaggi da esaminare.

Alla fine, non puoi davvero essere sicuro, comunque. La sicurezza è difficile, e una volta che qualcosa è fuori dal tuo controllo fisico, non c'è più.

    
risposta data 20.11.2012 - 22:20
fonte
4

L'e-mail non è considerata un mezzo di distribuzione sicuro dalla maggior parte degli standard. Questo è il motivo per cui quando la tua banca o qualsiasi altra organizzazione che ha bisogno di comunicare informazioni sensibili dovrebbe inviare una e-mail che ti chiede di accedere al loro sito web per ottenere il messaggio. Esistono standard di posta elettronica sicuri, ma è difficile garantire che siano seguiti da server di posta che gestiscono la distribuzione.

È possibile utilizzare le connessioni HTTPS Webmail o TLS Mail Server, ma ciò protegge solo le comunicazioni dal computer locale al server di posta. Il server di posta dovrebbe richiedere una connessione crittografata poiché la posta viene inoltrata al server di destinazione e i server dovrebbero essere in grado di concordare la sicurezza. Questo non è ben supportato o stabilito in questo momento.

La soluzione migliore consiste nell'utilizzare un certo tipo di crittografia lato client su un messaggio di posta elettronica o di memorizzazione delle informazioni su un sito Web protetto SSL e che richiede a qualcuno di accedere al sito per ottenere le informazioni.

La posta di una lumaca è probabilmente molto più sicura della posta elettronica standard in quanto il messaggio dovrebbe essere praticamente compromesso a un punto finale (anche in questo caso, a meno che tu non sia preoccupato per un governo) e la sicurezza fisica possa essere utilizzata sui punti finali . Se sei preoccupato per un'entità governativa, tutte le scommesse sono disattivate per e-mail o posta ordinaria.

    
risposta data 20.11.2012 - 22:53
fonte
3

Quando si inviano informazioni classificate dal governo su un altro sito, il protocollo impone che debba essere inviato tramite posta ordinaria (o corriere - nessuna email), quindi gli Stati Uniti hanno probabilmente alcune prove convincenti che questo è più "sicuro".

Certo, dipende da quanto è affidabile il sistema postale del tuo paese.

Una cosa che posso pensare è che non appena metti le informazioni su un sistema connesso a Internet, non hai alcuna garanzia che vada dove vuoi. Forse su quella macchina che stai inviando l'email è un virus che sta aspettando il caricamento di BigSecretFile.txt e poi lo invia segretamente ad un attaccante in attesa. Con la posta ordinaria, se il destinatario non riceve il pacco o il sigillo è rotto al suo arrivo all'arrivo, hai almeno la ragionevole certezza che le tue informazioni siano state compromesse.

Tuttavia, se devi semplicemente assicurarti che nessuno al di fuori del destinatario previsto abbia i tuoi segreti in chiaro, probabilmente la cosa più sicura da fare è generare e quindi crittografare i dati (con una chiave sufficiente che solo il tuo destinatario conosce) su una macchina che non è mai stato collegato a una rete / è in modo convincente sicuro. Dopodiché, non penso che sia più "sicuro" per spedirlo via posta o per inviarlo via email da un altro computer dato che i tuoi dati sono crittografati in entrambi i modi, ma la posta ordinaria ti dà ancora maggiori possibilità di sapere se è stata intercettata.

    
risposta data 20.11.2012 - 22:16
fonte
1

Facile: per la posta ordinaria rispetto ai comuni servizi webmail abilitati per HTTPS - basta inviare contenitori crittografati. Un volume TrueCrypt allegato a un'email o su una penna USB in una busta.

Se il messaggio deve essere chiaro, penso che la posta di lumaca abbia più probabilità di passare.

Il costo marginale di esaminare un pezzo aggiuntivo di posta ordinaria è abbastanza grande e statico: qualcuno deve trovarlo, aprire la busta, leggerla, rimetterla a posto. Ciò significa che è molto costoso ( anche in termini di costi amministrativi da solo ) per esaminare grandi volumi di posta.

Al contrario, il costo marginale di esaminare un'e-mail aggiuntiva è molto basso, probabilmente vicino allo zero, poiché si tratta di tutte le ricerche automatiche di parole chiave.

In sintesi, penso che la NSA sia più brava a intercettare le e-mail rispetto alla CIA che sta intercettando le lettere:)

    
risposta data 21.11.2012 - 02:52
fonte
0

in realtà anche con la webmail https, la comunicazione di back-end verso l'altro host (o anche internamente tra i server) può passare attraverso un semplice smtp in-the-open per trasferire l'e-mail all'altro host. È come avere un Wi-Fi crittografato ma avere un intruso collegato al trunk cablato.

essenzialmente non hai il controllo sulla posta elettronica una volta che ti lascia e sei quindi dipendente dal ToS e dalla politica sulla privacy sia del tuo host di posta che di quello del destinatario e, soprattutto, della sua implementazione. Puoi scegliere il tuo host ma non quello dell'altro.

    
risposta data 21.11.2012 - 00:54
fonte

Leggi altre domande sui tag

Il file CSS può contenere malware? [duplicare] Perché il NIST rimuove e non aggiorna la guida TLS? Qual è la sostituzione?