Mã Hóa Email Và Những Khó Khăn Gặp Phải

Có vẻ ngạc nhiên khi rất ít người sử dụng tin nhắn Email được mã hóa khi mà ngày nay với rất nhiều hoạt động giám sát từ chính phủ, hoạt động gián điệp của công ty, chưa kể hacker. Tất nhiên ai cũng muốn nội dung truyền tải của mình là hoàn toàn bí mật tới tay người cần đọc nó, nhưng những khó khăn thực tế gặp phải có phải là một phần cản trở trong việc thực hiện mã hóa Email để bảo đảm an toàn.
 

Email mã hóa thực sự cũng khá khó khăn cho chính bạn và cả người đọc nội dung bạn gửi khi nó là thông tin 2 chiều và cả 2 chiều đều hiểu phương thức hoạt động. Yahoo!, Google đều đã triển khai https cho Email của mình, trong đó Google đang có dự định triển khai mã hóa end to end cho Gmail theo kiểu PGP nhưng có vẻ chưa khả thi cho lắm. Chúng ta cùng phân tích một vài vấn đề để hiểu rõ hơn.

Tự chính bạn mã hóa Email hay bạn sử dụng các dịch vụ để mã hóa Email ?

Một số dịch vụ cung cấp mã hóa email cho bạn. Họ sẽ xử lý làm tất cả những phiền toái của việc quản lý khóa mã hóa cho bạn, bạn chỉ việc sử dụng mà không cần quan tâm vấn đề  gì ngoài khóa dịch vụ cung cấp. Nếu bạn gửi email được mã hóa giữa hai tài khoản bằng cách sử dụng dịch vụ tương tự, các tin nhắn email được mã hóa sẽ ở lại an toàn trong dịch vụ đó.

Vấn đề là bạn quá tin tưởng vào dịch vụ để xử lý mã hóa của bạn, điển hình như Lavabit chính phủ đã yêu cầu để truy cập vào các tin nhắn email được mã hóa của khách hàng. Chính phủ Mỹ thậm chí yêu cầu Lavabit cugn cấp các khóa mã hóa riêng của khách hàng để họ truy cập vào email mã hóa tất cả các khách hàng.

Từ vấn đề đó nếu bạn thực sự muốn giao tiếp hoàn toàn bảo mật, chính bạn sẽ muốn xử lý các mã hóa email mình. Điều này có nghĩa bạn tạo ra các khóa mã hóa của riêng bạn và bảo vệ họ thay vì lưu trữ chúng với một dịch vụ email được mã hóa.

Email mã hóa hoạt động thế nào ?

Hẳn ai cũng nghĩ tới PGP khi muốn mã hóa Email, nhưng có những tiêu chuẩn khác như tính năng mã hóa S/MIME trong Microsoft Outlook.

Khi bạn sử dụng PGP, bạn phải đi kèm cặp khóa "public key" và "private key". Những người muốn gửi email cho bạn sẽ sử dụng "public key" và bạn dùng "private key" để giải mã bức thư này khi bạn muốn xem nội dung. Bạn sẽ giữ "private key" bí mật cho chính mình, cung cấp "public key" cho những người muốn gửi Email cho bạn, đó là kiểu hoạt động của PGP. Tương tự thì người khác cũng phải có cặp khóa riêng của họ khi muốn mã hóa Email của họ.

Nội dung của email là vô nghĩa, dữ liệu vô nghĩa cho đến khi tập tin được giải mã. Lưu ý rằng có rất nhiều email là không an toàn ngay cả khi bạn sử dụng email được mã hóa. Tiêu đề, người nhận, người gửi không được mã hóa, vì vậy các cơ quan giám sát theo dõi lưu lượng truy cập Internet có thể giám sát những người đang giao tiếp với nhau và thậm chí nhìn thấy chủ đề của từng email. Mã hóa email đơn giản chỉ là mã hóa nội dung thư.

Bạn sẽ sử dụng Email mã hóa như thế nào ?

Phần lớn mọi người có xu hướng sử dụng dịch vụ email trên nền web như Gmail, Outlook, Yahoo!. Những dịch vụ này không có tính năng này tích hợp ( Google đang có kế hoạt triển khai mã hóa PGP trong Gmail ). Hiện tại bạn sẽ phải sử dụng tiện ích mở rộng cho trình duyệt để làm điều này. Mailvelope hỗ trợ PGP làm việc trên webmail như - Gmail™ - Yahoo!™ - Outlook.com™ - GMX™.

Đó là trên máy tính, vậy trên điện thoại bạn sẽ như thế nào khi bạn sử dụng PGP nhờ cài đặt APG, khi đó có lẽ K-9 Mail là một giải pháp thay vì bạn sử dụng các ứng dụng mail. Hai phiên bản này hiện hỗ trợ trên Android bạn có thể vào Google Store để tải về

APG cho smartphone

K-9 Mail cho Android

Vấn đề là bạn chỉ có thể sử dụng Email mã hóa khi mà thiết bị cuối cũng phải hỗ trợ PGP

Vấn đề chung khi sử dụng mã hóa Email ?

• Bạn cần phải hiểu cách thức hoạt động của public-private key, cách tạo ra một cặp khóa, và cung cấp public-key của bạn cho người bạn muốn liên lạc.
• Tất nhiên người khác cũng phải hiểu cách thức này khi muốn bạn liên lạc với họ.
• Cả hai cần phải giữ private-key một cách an toàn nếu không sẽ mất quyền truy cập vào email. Bạn cũng cần phải giữ chứng nhận thu hồi của bạn vì nó có thể làm mất hiệu lực public-key nếu bạn bị mất private-key.
• Private-key được mã hóa với một mật khẩu an toàn không giống với mật khẩu tài khoản email nên bạn phải nhớ cả 2.
• Đảm bảo bạn đang sử dụng cả hai tiêu chuẩn mã hóa email, có thể là PGP hoặc S/MIME hoặc một số tiêu chuẩn khác.
• Cần một giải pháp từ hãng thứ ba - Có thể là tiện ích mở rộng cho trình duyệt, ứng dụng cho smartphone, email plugin
• Kết hợp các ứng dụng khác nhau trên smartphone và các giải pháp cho máy tính để bàn nếu bạn muốn truy cập email của bạn trên tất cả các thiết bị.
• Ngay cả khi bạn làm những điều trên thì email của bạn vẫn bị theo dõi, những người bạn liên lạc hay thông điệp email sẽ không được mã hóa.

Với tất cả những sự phức tạp trên thì việc một người dùng tự triển khai mã hóa PGP có lẽ còn nhiều rắc rối, và cả khi mã hóa thì cũng có thể lộ những thông tin khác. Vì vậy vậy việc sử dụng các dịch vụ mã hóa có lẽ cũng là một điều cơ bản cho người dùng để tránh tin tặc chứ không có gì hoàn toàn đảm bảo tính riêng tư cho email của bạn.

HTG