メール暗号化の基礎知識 - 盗聴から通信を守る方法

本文约需 14 分钟阅读

电子邮件仍然是商务沟通的核心，但其架构设计于 1970 年代，安全性是后来才加上的。标准电子邮件以明文发送，路径上的任何人都能读取内容。合同、发票、个人信息、密码重置链接 - 加密对于保护通过电子邮件发送的敏感信息至关重要。本文将系统地介绍电子邮件加密基础知识，从 TLS 传输加密到 S/MIME 和 PGP 的端到端加密。

TLS 传输加密

TLS 的工作原理与局限性

TLS（传输层安全）是一种加密邮件服务器之间通信的技术。从你的邮件客户端到邮件服务器，以及邮件服务器之间的传输过程中，通信路径都会被加密。目前，Gmail、Outlook、Yahoo 邮件等主要邮件服务都支持 TLS，大多数邮件在传输过程中是加密的。

但 TLS 有重要的局限性。TLS 只加密"通信路径"，邮件在邮件服务器上以解密状态存储。这意味着邮件提供商的员工或未经授权访问服务器的攻击者可以读取邮件内容。此外，如果收件人的邮件服务器不支持 TLS，邮件可能会在没有加密的情况下发送。

S/MIME 与 PGP - 端到端加密

两种方式的区别

端到端加密在发送者设备上加密，仅在接收者设备上解密。由于邮件在邮件服务器上保持加密状态，即使提供商也无法读取内容。电子邮件端到端加密有两种主要方式：S/MIME 和 PGP（GPG）。

S/MIME 使用由证书颁发机构（CA）签发的数字证书来验证身份。它在企业环境中广泛使用，Outlook 和 Apple Mail 原生支持。另一方面，PGP 采用"信任网络"（Web of Trust）模型，用户之间互相验证公钥。由于不依赖中央 CA，它受到个人、记者和活动家的青睐。理解 PKI 机制可以更清楚地了解两者的区别。

面向普通用户的加密邮件服务

易于使用的加密邮件

由于设置 S/MIME 或 PGP 技术门槛较高，建议普通用户使用加密邮件服务。ProtonMail 和 Tutanota 等服务在同一服务的用户之间自动应用端到端加密。向外部邮箱发送时，也可以作为密码保护的加密消息发送。

这些服务在服务器端也以加密形式存储邮件（零访问加密），意味着服务提供商自身也无法读取邮件内容。即使是免费计划也可以使用基本加密功能，对于注重隐私的用户来说是现实的选择。但需要注意的是，如果对方不使用同一服务，就无法实现完全的端到端加密。

附件加密

安全发送附件的方法

除了加密邮件正文，保护附件也很重要。最简单的方法是将文件压缩为密码保护的 ZIP 后再附加。但绝不能在同一封邮件中发送密码。应通过不同的通信方式（电话、短信、聊天应用等）传达密码。需要注意的是，在日本广泛流行的"PPAP"（通过邮件发送密码保护的 ZIP，再通过另一封邮件发送密码）由于使用相同路径发送，几乎没有安全效果，现在已不推荐使用。

更安全的方法是将文件上传到云存储（Google Drive、OneDrive、Dropbox 等），然后通过邮件发送设置了访问权限的共享链接。这种方法还可以事后撤销文件访问权限。处理高度机密的文档时，结合使用<AmazonLink keyword="セキュリティキー" locale={locale} className="amazon-inline-link">硬件安全密钥 (Amazon)</AmazonLink>进行认证可以实现更强的保护。关于加密的基础概念，请参阅加密基础知识。