如何配置电子邮件服务以提供（接近）零知识？

Question 1

我只是在寻找某种能够对粗心的管理员提供烟幕的东西。

简短回答：不可以。

如果你与管理员打交道第一个、最后一个、也是唯一的一个防御是端到端加密。因此 GPG 就是答案。

谁具有服务器的根访问权限（应该）拥有它，因为他们需要它，并且可能知道服务是如何配置的（以便维护它们或在出现问题时修复它们）。

因此，如果你设置了一些混淆，那么拥有 root 权限的人可能知道这种混淆是如何进行的，并且知道如何解码消息，因此：

它没有添加任何有效的安全层
创造虚假的安全感

安全系统的安全性取决于其秘密。谨防伪秘密。

（埃里克·雷蒙德 -大教堂和集市）

相反，你应该明智地选择谁有管理员凭据：

他们真的需要它们吗？
对某些特定命令进行适当限制的 sudo 访问是否足够？

其他解决方案：

所有收到的邮件自动进行 GPG 加密

优点：

保护 IMAP 邮箱免受窥视者的保护
即使被盗，数据也是安全的

缺点：

需要正确配置的客户端来阅读邮件（无网络邮件访问权限）
客户必须同意，提供他们的公共 GPG 密钥并配置他们的邮件客户端（需要技术技能）
发件人、收件人、主题和所有标题均未加密（客户必须知晓这一点）
需要一些服务器端的工作和适当的方法来验证客户公钥
邮件以明文形式发送到您的服务器，因此可以在 GPG 加密之前进行窃听

服务器上的全盘加密

优点：

如果服务器或磁盘被盗/被扣押，可以保证数据安全
完全透明，无需特殊配置邮件服务器或其他服务

缺点：

没有管理员保护或服务器被黑客入侵
每次启动时都需要输入密码（如果只有数据分区加密则通过 SSH 或者通过 KVM），并且您必须信任该通道。
你将获得较低的 I/O 性能

使用端到端加密

优点：

最安全的方式，即使你无法访问这些数据

缺点：

客户必须这样做，并且客户联系的人必须是合适的人
为了安全起见，必须对所有收发邮件进行加密，所有在线服务发送的邮件都不要加密（欢迎邮件、密码更改邮件、通知等）

Answer

我只是在寻找某种能够对粗心的管理员提供烟幕的东西。

简短回答：不可以。

如果你与管理员打交道第一个、最后一个、也是唯一的一个防御是端到端加密。因此 GPG 就是答案。

谁具有服务器的根访问权限（应该）拥有它，因为他们需要它，并且可能知道服务是如何配置的（以便维护它们或在出现问题时修复它们）。

因此，如果你设置了一些混淆，那么拥有 root 权限的人可能知道这种混淆是如何进行的，并且知道如何解码消息，因此：

它没有添加任何有效的安全层
创造虚假的安全感

安全系统的安全性取决于其秘密。谨防伪秘密。

（埃里克·雷蒙德 -大教堂和集市）

相反，你应该明智地选择谁有管理员凭据：

他们真的需要它们吗？
对某些特定命令进行适当限制的 sudo 访问是否足够？

其他解决方案：

所有收到的邮件自动进行 GPG 加密

优点：

保护 IMAP 邮箱免受窥视者的保护
即使被盗，数据也是安全的

缺点：

需要正确配置的客户端来阅读邮件（无网络邮件访问权限）
客户必须同意，提供他们的公共 GPG 密钥并配置他们的邮件客户端（需要技术技能）
发件人、收件人、主题和所有标题均未加密（客户必须知晓这一点）
需要一些服务器端的工作和适当的方法来验证客户公钥
邮件以明文形式发送到您的服务器，因此可以在 GPG 加密之前进行窃听

服务器上的全盘加密

优点：

如果服务器或磁盘被盗/被扣押，可以保证数据安全
完全透明，无需特殊配置邮件服务器或其他服务

缺点：

没有管理员保护或服务器被黑客入侵
每次启动时都需要输入密码（如果只有数据分区加密则通过 SSH 或者通过 KVM），并且您必须信任该通道。
你将获得较低的 I/O 性能

使用端到端加密

优点：

最安全的方式，即使你无法访问这些数据

缺点：

客户必须这样做，并且客户联系的人必须是合适的人
为了安全起见，必须对所有收发邮件进行加密，所有在线服务发送的邮件都不要加密（欢迎邮件、密码更改邮件、通知等）

Question 2

总是会惊讶地发现，系统管理员（电子邮件服务器）及其所有 C 级好友如何了解您以及您在公司中的通信情况显然并不为人所知。如上文详细提到的，GPG 显然是一种选择 - 您说得对：您的用户可以负责处理它。一旦他们这样做，您（系统广告）就无法再阅读他们的电子邮件了……除非您也有他们的密钥。根据您描述的事实，很多电子邮件用户都没有使用它。

最好的老式方法可能是给他们写一封电子邮件建议他们这样做……但这种方法可能超出了这个平台的目的。无论如何，这是一个非常引人注目的解决方案（恕我直言）。

说了这么多，回到技术选择上：

几年前，在一家提供这种用户管理隐私保护的公司中，我们使用了 PGP（它提供了隐私性很好;-) 这无疑是 GPG 的一个很好的替代品（这些 GNU 人总是想扭曲我们的思想，不是吗？），但它仍然是基于用户的。

请记住，隐私和知识的含义完全不同。从您所写的内容来看，我认为您想要的是为他人提供额外的隐私级别……例如出于某种利他主义的想法或关心敏感信息，以及每个管理员都可以访问这些信息。我认为您这样想很好，如果您这样想，那么对某些用户来说，您可能做得过头了。他们甚至可能不希望您改变每个人都习惯的东西（或习惯于不知道的东西）。因此，如果您想超越让每个人都照顾好电子邮件中包含的敏感信息的水平，并且由于任何原因无法提供个性化加密解决方案……我想您必须采用@Tsumi 非常巧妙地讨论的服务器解决方案，或者您真的想要质子邮件。

或者——再一次——您选择上面提到的人性化解决方案——祝您好运，为您的用例找到最佳决策！

Answer

总是会惊讶地发现，系统管理员（电子邮件服务器）及其所有 C 级好友如何了解您以及您在公司中的通信情况显然并不为人所知。如上文详细提到的，GPG 显然是一种选择 - 您说得对：您的用户可以负责处理它。一旦他们这样做，您（系统广告）就无法再阅读他们的电子邮件了……除非您也有他们的密钥。根据您描述的事实，很多电子邮件用户都没有使用它。

最好的老式方法可能是给他们写一封电子邮件建议他们这样做……但这种方法可能超出了这个平台的目的。无论如何，这是一个非常引人注目的解决方案（恕我直言）。

说了这么多，回到技术选择上：

几年前，在一家提供这种用户管理隐私保护的公司中，我们使用了 PGP（它提供了隐私性很好;-) 这无疑是 GPG 的一个很好的替代品（这些 GNU 人总是想扭曲我们的思想，不是吗？），但它仍然是基于用户的。

请记住，隐私和知识的含义完全不同。从您所写的内容来看，我认为您想要的是为他人提供额外的隐私级别……例如出于某种利他主义的想法或关心敏感信息，以及每个管理员都可以访问这些信息。我认为您这样想很好，如果您这样想，那么对某些用户来说，您可能做得过头了。他们甚至可能不希望您改变每个人都习惯的东西（或习惯于不知道的东西）。因此，如果您想超越让每个人都照顾好电子邮件中包含的敏感信息的水平，并且由于任何原因无法提供个性化加密解决方案……我想您必须采用@Tsumi 非常巧妙地讨论的服务器解决方案，或者您真的想要质子邮件。

或者——再一次——您选择上面提到的人性化解决方案——祝您好运，为您的用例找到最佳决策！

如何配置电子邮件服务以提供（接近）零知识？

答案1

其他解决方案：

答案2

相关内容