ایمیل در سال 1971 ابداع شد و از آن زمان به بعد تغییرات کمی در آن ایجاد شده. در آن زمان ایمیل تبدیل به یکی از مخاطرات امنیتی اساسی برای افراد، دولتها و شرکتهای خصوصی در سراسر جهان شد و این شرایط منجر به شکل گیری سرویسهایی موسوم به سرویسهای ارائه خدمات ایمیل امن شد.
اما ایمیل امن چه تفاوتی با ایمیلهای معمولی دارد؟
ایمیل رمزنگاری شده امن چیست؟
ایمیل امن در اصل همان سرویس ایمیل معمولی به همراه یکسری ارتقاهای امنیتی است. فناوری پشت صحنه هر دو مدل در اصل به یک صورت است در نتیجه روش استفاده از این دو سرویس به یک شکل است. در سرویس ایمیل امن هم پیامها را به آدرسهایی که به یک @ و نام دامنه ختم میشوند ارسال میکنید و در این سرویس هم معمولاً ایمیلهای اسپم زیادی دریافت میکنید.
به همین دلیل هر سرویس ایمیلی میتواند ادعای امن بودن داشته باشد چون هیچ تعریف مشخصی از چنین سرویسی وجود ندارد و بیشتر سرویسهای مهم مثل جی میل و اوت لوک خودشان را امن تلقی میکنند.
بیشتر سرویسهایی که از چنین اصطلاحی استفاده میکنند، کارهایی فراتر از الزام به استفاده از پسوردهای قوی یا احرازهویت دو مرحلهای انجام میدهند. از این جهت در این زمینه بحث امنیت صرفاً مربوط به پیشگیری از دسترسی افراد غیرمجاز به اکانت کاربران نیست بلکه تأمین امنیت مستلزم حفاظت از دادهها و هویت کاربران است.
شرکتی که واقعاً یک راهکار امن ارائه میکند، قادر به خواندن ایمیلهای کاربران نیست. چنین سرویسهایی باید در قلمروهایی مستقر باشند که طبق قانون ملزم به ارائه دادههای کاربران به نهادهای دولتی نباشند. خود این فناوری هم در حالت ایده آل باید بر پایه استانداردهای باز طراحی شده باشد تا همه قادر به بررسی امنیت آن باشند. چنین سرویسی نباید اطلاعات کاربران را ثبت کند، برای آنها تبلیغات ویژه و سفارشی نمایش دهد یا ابردادهها را ذخیره کند.
به همین دلیل است که جی میل، اوت لوک، یاهو و خیلی از سرویسهای ایمیل رایگان دیگر امن تلقی نمیشوند. یک سرویس ایمیل امن از نظر امنیت دادهها نسبت به جی میل وضعیت بهتری دارد اما در چنین سرویسی به امکانات و قابلیتهای گوگل دسترسی نخواهید داشت. در نتیجه اولویتها و سلایق شما مشخص میکند که کدام گزینه برای شما مناسب تر است.
سرویس ایمیل امن چگونه از اطلاعات شما حفاظت میکند؟
برای ساختن سرویس ایمیلی که واقعاً ایمن باشد، وجود قابلیت رمزنگاری سرتاسری (end-to-end) ضروری است. هر چند سرویسهایی مثل جی میل کانکشن بین کامپیوتر شما و سرور را رمزنگاری میکنند، اما هر گونه اطلاعاتی که به سرور ارسال میکنید (از جمله محتوای پیامهای شما) وقتی به این سرورها برسند، رمزنگاری شده نخواهند بود.
همه گفتگوهای خصوصی (و حتی اسرار دولتی) که از طریق ایمیل آنها را مبادله میکنید، به شکل رمزنگاری نشده روی سرورهای گوگل ذخیره میشوند. مثلاً اگر این اطلاعات در یک رخنه امنیتی به سرقت بروند، مهاجمان سایبری برای خواندن آنها نیازی به رمزگشایی ندارند اما سرویس ایمیل امن دادههای کاربران را پیش از ذخیره بر روی سرورهای خودش رمزنگاری میکند تا اشخاص متفرقه قادر به خواندن آنها نباشند.
نبود رمزنگاری سرتاسری باعث میشود که ارائه دهنده سرویس ایمیل بتواند به پیامهای شما دسترسی پیدا کند که قبلاً هم چنین اتفاقی رخ داده و مثلاً گوگل برای مقاصد تبلیغاتی متن پیامهای کاربرانش را اسکن کرده هر چند این عملکرد از سال 2017 به بعد متوقف شد اما این شرکت هنوز هم برای سرویسهایی مثل Google Now (که حالا منسوخ شده) به اسکن ایمیلها ادامه میدهد.
محل قرار گرفتن این سرورها هم بر نحوه کار با این دادهها تأثیرگذار است. سرورهای ایمیل امن هم مثل سرورهای ویپیان بیشتر در مناطق دور دست یا کشورهای بی طرف مستقر شدهاند. مثلاً سرورهای ProtonMail در سوئیس مستقر هستند که قوانین حفاظت از حریم خصوصی این کشور کاملاً مشهور و شناخته شده هستند اما در آمریکا دولت میتواند طبق حکم دادگاه به اطلاعات سرورهای مستقر در این کشور دسترسی پیدا کند. آمریکا هم در کنار استرالیا، کانادا، انگلیس و نیوزلند عضو اتحادیه فایو آیز (Five Eyes یا 5 چشم) است. این کشورها همواره به بهانه حفاظت از امنیت ملی، دادههای کاربران را با هم مبادله میکنند.
چنین دادههایی به همراه پیامهای مبادله شده شما میتوانند اطلاعات زیادی را درباره شما افشا کنند. ابَر دادهها در واقع “دادههایی درباره سایر دادهها” هستند مثل زمان ارسال یک ایمیل یا امضاهای خاصی که توسط مرورگر مورد استفاده شما ثبت میشوند. خود شما ابردادهها را به صورت آگاهانه تولید نمیکنید اما این دادهها مثل یک ردپای واضح از شما عمل کرده و همه کارهایی که در فضای آنلاین انجام میدهید را مشخص میکنند.
سرویسهای ایمیل امن سعی میکنند این ابردادهها را تا حد امکان کاهش دهند. در نتیجه پیدا کردن منشأ پیام و تشخیص هویت ارسال کننده آن سخت میشود.
همچنین ارائه دهندگان این سرویسها از ابزارهایی مثل Pretty Good Privacy (به اختصار PGP) در اینترفیسهای خودشان استفاده میکنند. PGP امکان قفل کردن عناصر مختلف یک پیام را فراهم میکند طوری که فقط دارنده کلید خصوصی قادر به خواندن آنها باشد. با استفاده از این سرویس، ایمیلهای شما برای خودتان مثل متن معمولی و کاملاً خوانا به نظر میرسند اما برای فردی که کلید خصوصی رمزگشایی پیام را در اختیار نداشته باشد، مبهم و ناخوانا خواهند بود.
نکته آخر اینکه وقتی محصولی به شکل اپن سورس طراحی شود، امکان بازبینی و مشخص کردن مشکلات آن توسط همه وجود دارد اما امکان انجام این کار با کدهای بسته وجود ندارد.
کدام سرویس ایمیل امن بهتر است؟
نمی توان برای هر کاربران یک سرویس واحد را معرفی کرد. سرویسهای مختلفی وجود دارند که هر کدامشان قیمت و گزینههای امنیتی خاص خودشان را دارند. بودجه از جمله مواردی است که باید به آن توجه داشته باشید چون بیشتر سرویسهای امن امکانات و ابزارهایی مثل گوگل یا اوت لوک را به شکل رایگان در اختیار شما قرار نمیدهند.
ProtonMail (با قابلیت استفاده از نسخه رایگان) یکی از شناخته شده ترین سرویسهای ایمیل رمزنگاری شده و یکی از کامل ترین آنهاست. این سرویس دادههای کاربران را رمزنگاری کرده و روی سرورهایی مستقر در کشور سوئیس ذخیره میکند و این شرکت دائماً بازرسیهایی برای اطمینان از حفظ امنیت دادههای کاربران انجام میدهد. این سرویس بر پایه یک فناوری اپن سورس ساخته شده و یک اپلیکیشن آیفون و اندروید اختصاصی هم دارد.
Tutanota (با نسخه رایگان) یکی دیگر از سرویسهای ایمیل توصیه شده با مجموعه امکانات و فرایندهای بازرسی شبیه به ProtonMail است. سرورهای این سرویس در آلمان مستقر هستند (خود این شرکت دلیل انجام این کار را توضیح داده) و این سرویس بر پایه امکانات اپن سورس طراحی شده است. فقط یک ایراد جزئی در رابطه با سرویس موبایلی وجود دارد از این جهت که برای رمزگشایی ایمیلها به یک اپلیکیشن اختصاصی نیاز دارید.
Posteo (بدون نسخه رایگان) هم در آلمان مستقر شده و از این جهت که نسبت به ProtonMail و Tutanota ارزان تر است، شهرت زیادی پیدا کرده. در این سیستم هم همه اطلاعات به شکل سرتاسری رمزنگاری میشوند و امکان پیاده سازی PGP برای فراهم شدن اطمینان خاطر هر چه بیشتر وجود دارد. برای استفاده از این سیستم و ساختن اکانت نیازی به نام، ایمیل پشتیبان یا سایر اطلاعات هویتی ندارید.
سرویسهای ایمیل مختلفی هستند که میتوانید گزینه مناسبتان را از بین آنها انتخاب کنید از جمله Mailfence، mailbox.org، Fastmail و CounterMail. توصیه میکنیم که در رابطه با سرویس ایمیل امنی که قصد استفاده از آن را دارید درست مثل انتخاب سرویس ویپیان خوب فکر کنید.
بهتر است سرویسی را انتخاب کنید که سابقه و تاریخچه خوبی داشته باشد. یکی از این سرویسها به نام UnSeen که در ایسلند مستقر بود، در اواخر سال 2020 بدون هیچ اثری ناپدید شد و بعد دوباره با یک دامنه تایوانی شروع به کار کرد که این مسئله منجر به ایجاد گمانه زنیها و بی اعتمادیهای زیادی شد.
آیا شما هم به سرویس ایمیل امن نیاز دارید؟
اگر نیاز به سرویس ایمیل امن داشته باشید، به احتمال زیاد خود شما از این موضوع باخبرید. مثل بعضی خبرنگاران که باید هویت منابع خبری و مطالب خصوصی را حفظ کنند.
برای اکثر مردم عادی استفاده از چنین سرویسهایی ضروری نیست. این سرویسها در ازای کم شدن امکانات، راحتی و هزینهای که از شما دریافت میکنند، باعث ایجاد آرامش خاطر بیشتری میشوند. ارائه دهنده سرویس ایمیل قادر به مشاهده محتوای پیامهای شما نیست و معمولاً برقراری ارتباط با دیگران با استفاده از رمزنگاری سرتاسری راحت تر است (البته میتوانید از پیام رسانهایی مثل سیگنال با قابلیت رمزنگاری سرتاسری هم استفاده کنید) اما انتخاب و تصمیم گیری با شماست.
اما اگر مهم ترین نگرانی و دغدغه شما بحث حریم خصوصی است، باید دقت داشته باشید که احتمال قربانی شدن در برابر حملات مهندسی اجتماعی بیشتر از نشت داده است.