Электронная почта — надежный способ оставаться на связи, когда в стране блокируют сайты и отключают мессенджеры. Вот короткая инструкция, как обезопасить свой ящик от сливов
Электронная почта — надежный способ оставаться на связи, когда в стране блокируют сайты и отключают мессенджеры. Вот короткая инструкция, как обезопасить свой ящик от сливов
На днях «Медуза» объявила о запуске SOS-рассылки: так мы назвали наш план на случай если не полного отключения, то значительного ограничения интернета в России в дни президентских выборов — 15–17 марта (к сожалению, у нас есть основания опасаться такого сценария). Для получения писем нам нужен лишь ваш электронный адрес — но мы прекрасно понимаем, что делиться даже такой информацией в условиях частых утечек баз данных многим кажется опасным. Поэтому мы составили эту инструкцию — о нескольких простых и чуть менее простых способах обезопасить свою почту от ситуации, когда название почтового ящика или его содержимое станет известно силовикам. По меньшей мере это поможет вам анонимизировать свое пользование конкретным адресом. Пожалуйста, не пренебрегайте мерами предосторожности — и берегите себя!
Начните пользоваться сервисами, скрывающими ваш электронный адрес
Такие сервисы работают в виде посредника. Они позволяют создать множество новых почтовых адресов, при этом сами не собираются хранить ваши письма — вместо этого будут пересылать их на ваш основной адрес. Так вы можете скрыть свой настоящий адрес от сервисов, требующих указать почту при регистрации, почтовых рассылок (в том числе от «Медузы») и любых других респондентов.
Таких сервисов очень много. Они отличаются в нюансах, но выполняют одну задачу — скрывают ваш настоящий адрес. В качестве примера можно привести:
Учтите, что бесплатные версии таких сервисов обычно предлагают ограниченный набор функций. Например, бесплатная учетная запись addy.io, Proton Pass и SimpleLogin позволяет создать 10 новых почтовых адресов, которые нельзя связать между собой, Firefox Relay — пять. DuckDuckGo Email Protection позволяет бесплатно создавать любое количество таких адресов.
Платная подписка снимает ограничение на число адресов и позволяет заводить собственный адрес для каждой новой подписки и регистрации. Представьте: одна почта — для «Госуслуг», другая — для подписки на любимый стриминг, третья — для регистрации на форуме, четвертая — для покупок в интернет-магазине. И так далее. Удобно, просто — и безопасно. Вот почему:
Минимизация ущерба от утечек
Правило «один сервис — один почтовый адрес» поможет защитить персональные данные от утечек. Практически всегда для регистрации на сайте или оформления подписки на какой-нибудь сервис от пользователя требуют указать адрес его почты. Чаще всего люди указывают одни и те же адреса домашней или рабочей почты. То есть почта становится универсальным идентификатором пользователя. Поэтому, даже если отдельные сервисы не требуют раскрыть ваше имя при регистрации, установить его все равно можно — с помощью утечек из других сервисов, где вы указывали и имя, и почту. Проверить, есть ли ваш адрес и связанные с ним персональные данные в уже слитых базах, можно, например, здесь.
Борьба со спамом
Как и обычная почта, ваш сгенерированный адрес может утечь к спамерам — и вы начнете получать нежелательные письма. Если придерживаться правила «один сервис — один почтовый адрес», то выявить источник утечки будет очень просто. В таком случае достаточно будет отключить или удалить утекший адрес, чтобы прекратить поток спама.
Откажитесь от российских почтовых сервисов
Это стоит сделать, потому что практически все крупные российские компании, в том числе предоставляющие услуги электронной почты, уже давно вошли в список «организаторов распространения информации». Они должны хранить метаданные сообщений своих пользователей и сами эти сообщения (в случае почтовых сервисов — электронные письма). Компании также обязаны установить у себя специальное оборудование СОРМ, чтобы обеспечить доступ к этой информации ФСБ. То есть все ваши письма и письма ваших корреспондентов — открытая книга для сотрудников спецслужб.
От обязанности собирать информацию о пользователях и передавать ее ФСБ освобождены физические лица, которые сами установили и администрируют свой почтовый или какой-то другой сервер (то есть формально являются «организаторами распространения информации»), при этом используют его только «для личных, семейных и домашних нужд».
Такое исключение прописано в Федеральном законе «Об информации, информационных технологиях и о защите информации».
В соответствующем постановлении правительства РФ уточняется, что число пользователей такого сервиса не должно превышать 10 тысяч человек. Понятие «личных, семейных и домашних нужд» ограничивается семью пунктами:
- Потребности граждан, связанные с приобретением знаний, умений, навыков, ценностных установок, опыта деятельности и компетенции в целях интеллектуального, духовно-нравственного, культурного, творческого, физического и (или) профессионального развития человека, удовлетворения его образовательных потребностей и интересов (образовательные потребности).
- Потребности граждан, связанные с осуществлением деятельности, направленной на получение и применение новых знаний (научные потребности).
- Потребности граждан, связанные с созданием результатов творческой деятельности, в том числе программ для электронных вычислительных машин, включая внесение изменений в указанные программы.
- Потребности граждан, связанные с приобретением товаров, работ, услуг, поиском работников, размещением информации о вакансиях.
- Потребности граждан, связанные с ведением домашнего хозяйства, садоводства, разведением животных и уходом за ними.
- Потребности граждан, связанные с получением информации о технических характеристиках и потребительских свойствах товаров, качестве услуг, результатах работ.
- Потребности граждан, связанные с организацией досуга и (или) воспитанием детей.
При этом запрещено использовать свой сервер для общественной или общественно-политической деятельности, в том числе для распространения соответствующих информации и материалов.
Чтобы усложнить доступ к вашей почте для ФСБ, можно обзавестись почтовым ящиком популярных западных сервисов вроде gmail.com или hotmail.com. Но если вас в принципе не устраивает ситуация, когда почтовый провайдер имеет доступ к содержимому ваших писем и может выдать их правоохранительным органам (пусть даже не российским), обратите внимание на Proton Mail или Mailfence. Эти почтовые сервисы хранят все ваши сообщения у себя на серверах в зашифрованном виде и не имеют доступа к ключам для их расшифровки. А еще облегчают работу с OpenPGP-шифрованием для обычных пользователей.
Если приходится использовать российскую почту — шифруйте переписку
Тот же стандарт OpenPGP оба корреспондента могут использовать для надежного шифрования переписки даже при использовании российских почтовых сервисов. Только настраивать его придется вручную. Обратите внимание на клиенты, которые поддерживают OpenPGP:
- почтовый клиент для настольных операционных систем Thunderbird
- почтовые клиенты для андроидов K-9 Mail и FairEmail (для создания ключа вам потребуется приложение OpenKeychain)
- почтовый клиент для айфонов Canary Mail (OpenPGP-шифрование доступно только в платной версии)
- расширение для браузеров Mailvelope
- мессенджер Delta Chat
Шифрование, используемое в электронной почте, защищает только содержимое самого письма и приложенные файлы. В «открытом» виде (для почтового сервиса — а значит, и спецслужб) остаются тема письма и все метаданные. Поэтому лучше использовать пустую тему для зашифрованных писем — или всегда одну и ту же. Вроде: «Encrypted message».
Платная версия сервиса SimpleLogin позволяет не только генерировать множество электронных адресов, перенаправляя их на вашу основную почту, но и шифровать пересылаемые сообщения с помощью OpenPGP на пути от SimlpeLogin до вашего ящика. То есть на стороне российского почтового провайдера будут видны уже зашифрованные сообщения, а вместо реального отправителя будет указана почта посредника — SimpleLogin. Отфильтровать определенные рассылки или письма конкретного человека будет невозможно.
«Медуза»