البريد الإلكتروني طريقة غير آمنة من طُرق الاتصال بشكل افتراضي. يمكنك تحسين أمان بريدك الإلكتروني باستخدام أدوات مثل OpenPGP، والتي تضيف التشفير بين الطريفين إلى رسائلك، ولكن لا يزال OpenPGP به عدد من العيوب مقارنة بالتشفير في تطبيقات المراسلة الأخرى، ولا يمكن تشفير بعض بيانات البريد الإلكتروني بطبيعتها أبدًا بسبب تصميم البريد الإلكتروني.
نتيجةً لذلك، يُفضل استخدام البريد الإلكتروني لتلقي رسائل البريد الإلكتروني الخاصة بالمعاملات (مثل الإشعارات ورسائل التحقق وإعادة تعيين كلمة المرور وما إلى ذلك) من الخدمات التي تشترك فيها عبر الإنترنت، وليس للتواصل مع الآخرين.
نظرة عامة على تشفير البريد الإلكتروني
الطريقة القياسية لإضافة E2EE إلى رسائل البريد الإلكتروني بين موفري البريد الإلكتروني المختلفين هي باستخدام OpenPGP. هناك تطبيقات مختلفة لمعيار OpenPGP ، وأكثرها شيوعًا هي GnuPG و OpenPGP.js.
هناك معيار آخر شائع في الأعمال يسمى S/MIME، ومع ذلك ، فإنه يتطلب شهادة صادرة من هيئة الشهادات (لا تصدر جميعها شهادات S/MIME). لديها دعم في Google Workplace و Outlook للويب أو Exchange Server 2016 ،2019.
حتى إذا كنت تستخدم OpenPGP، فهو لا يدعم السرية المستمرة، مما يعني أنه إذا سُرقت أي من المفتاح الخاص بك أو بالمستلم، فسيتم كشف جميع الرسائل السابقة المشفرة به. هذا هو السبب إنني أوصي بالمراسلين الفوريين مثل SimpleX Chat أو Signal أو Briar الذين يطبقون السرية المستمرة للاتصالات الشخصية.
ما هو معيار دليل مفاتيح الويب (Web Key Directory standard)؟
يسمح معيار دليل مفاتيح الويب (WKD) لعملاء البريد الإلكتروني باكتشاف مفتاح OpenPGP لصناديق البريد الأخرى، حتى تلك المستضافة على موفر مختلف. سيطلب عملاء البريد الإلكتروني الذين يدعمون WKD من خادم المستلم مفتاحًا بناءً على اسم مجال عنوان البريد الإلكتروني. على سبيل المثال، إذا أرسلت بريدًا إلكترونيًا إلى contact@aosus.org، فسيطلب برنامج البريد الإلكتروني الخاص بك من موقع aosus.org مفتاح contact’s OpenPGP، وإذا كان موقع aosus.org لديه مفتاح لهذا الحساب، فسيتم تشفير رسالتك تلقائيًا.
بالإضافة إلى برامج البريد الإلكتروني التي اوصي بها والتي تدعم WKD، يدعم بعض موفري بريد الويب WKD أيضًا. يعتمد ما إذا كان سيتم نشر مفتاحك الخاص على WKD ليستخدمه الآخرون على تضبيط المجال الخاص بك. إذا كنت تستخدم موفر بريد إلكتروني يدعم WKD، مثل Proton Mail أو Mailbox.org، فيمكنه نشر مفتاح OpenPGP الخاص بك على نطاقه نيابةً عنك.
إذا كنت تستخدم المجال المخصّص الخاص بك، فستحتاج إلى تضبيط WKD بشكل منفصل. إذا كنت تتحكم في اسم المجال الخاص بك، فيمكنك إعداد WKD بغض النظر عن مزود البريد الإلكتروني الخاص بك. إحدى الطرق السهلة للقيام بذلك هي استخدام ميزة " WKD as a Service" من Keys.openpgp.org، عن طريق تعيين سجل CNAME على النطاق الفرعي openpgpkey لنطاقك والمشار إليه بـ wkd.keys.openpgp.org، ثم تحميل مفتاحك. إلى key.openpgp.org. وبدلاً من ذلك، يمكنك استضافة WKD ذاتيًا على خادم الويب الخاص بك.
إذا كنت تستخدم نطاقًا مشتركًا من موفر لا يدعم WKD، مثل @gmail.com، فلن تتمكن من مشاركة مفتاح OpenPGP الخاص بك مع الآخرين عبر هذه الطريقة.
ما عملاء البريد الإلكتروني الذين يدعمون التشفير بين الطريفين (E2EE)؟
يمكن استخدام موفري البريد الإلكتروني الذين يسمحون لك باستخدام بروتوكولات الوصول القياسية مثل IMAP و SMTP مع أي من عملاء البريد الإلكتروني الذي أوصي به. اعتمادًا على طريقة المصادقة، قد يؤدي ذلك إلى تقليل الأمان إذا كان الموفر أو عميل البريد الإلكتروني لا يدعم OATH أو تطبيق الجسر لأن المصادقة متعددة العوامل غير ممكنة مع مصادقة كلمة المرور العادية.
كيف أحمي مفاتيحي الخاصة؟
تعمل البطاقة الذكية (مثل YubiKey أو Nitrokey) عن طريق تلقي رسالة بريد إلكتروني مشفرة من جهاز (هاتف ، جهاز لوحي ، كمبيوتر ، إلخ) يقوم بتشغيل عميل بريد إلكتروني/بريد ويب. يتم بعد ذلك فك تشفير الرسالة بواسطة البطاقة الذكية و يُرسال المحتوى الذي فك تشفيره مرة أخرى إلى الجهاز.
من المفيد أن يحدث فك التشفير على البطاقة الذكية لتجنب تعريض مفتاحك الخاص لجهاز مخترق.
نظرة عامة على البيانات الوصفية للبريد الإلكتروني
يٌخزين البيانات الوصفية للبريد الإلكتروني في رأس الرسالة الخاصة برسالة البريد الإلكتروني وتتضمن بعض الرؤوس المرئية التي ربما تكون قد شاهدتها مثل: إلى، ومن، ونسخة، وتاريخ، وموضوع. هناك أيضًا عدد من الرؤوس المخفية المضمنة بواسطة العديد من عملاء وموفري البريد الإلكتروني والتي يمكنها الكشف عن معلومات حول حسابك.
قد تستخدم برامج العميل البيانات الوصفية للبريد الإلكتروني لإظهار هوية الرسالة ووقت استلامها. قد تستخدمها الخوادم لتحديد المكان الذي يجب إرسال رسالة بريد إلكتروني إليه، من بين أغراض أخرى لا تكون شفافية دائمًا.
من يمكنه ان يرى البيانات الوصفية (Metadata) للبريد الإلكتروني؟
البيانات الوصفية للبريد الإلكتروني محمية من المراقبين الخارجيين مع Opportunistic TLS التي تحميها من المراقبين الخارجيين، ولكن لا يزال من الممكن رؤيتها بواسطة برنامج عميل البريد الإلكتروني (أو بريد الويب) وأي خوادم تنقل الرسالة منك إلى أي مستلم بما في ذلك مزود البريد الإلكتروني الخاص بك. في بعض الأحيان، تستخدم خوادم البريد الإلكتروني أيضًا خدمات الجهات الخارجية للحماية من البريد العشوائي، والذي يمكنه أيضًا الوصول إلى رسائلك بشكل عام.
لماذا لا يمكن أن تكون البيانات الوصفية (Metadata) مشفرة بين الطريفين (E2EE)؟
تعد البيانات الوصفية للبريد الإلكتروني ضرورية للوظائف الأساسية للبريد الإلكتروني (من أين أتت وأين يجب أن تذهب). لم يتم تضمين E2EE في بروتوكولات البريد الإلكتروني في الأصل، وبدلاً من ذلك تتطلب برامج إضافية مثل OpenPGP. نظرًا لأنه لا يزال يتعين على رسائل OpenPGP العمل مع موفري البريد الإلكتروني التقليديين، فلا يمكنها تشفير بيانات تعريف البريد الإلكتروني، فقط نص الرسالة نفسه. هذا يعني أنه حتى عند استخدام OpenPGP، يمكن للمراقبين الخارجيين رؤية الكثير من المعلومات حول رسائلك، مثل من ترسل إليه عبر البريد الإلكتروني، وأسطر الموضوع، وعندما ترسل بريدًا إلكترونيًا، وما إلى ذلك.