发送加密电子邮件的最简单方法？

为了遵守马萨诸塞州的新个人信息保护法，我公司（除其他事项外）需要确保通过电子邮件发送个人信息时，该信息都是经过加密的。最简单的方法是什么？基本上，我正在寻找收件人需要最少工作量的东西。如果可能的话，我真的想避免他们必须下载程序或执行任何步骤来生成密钥对，等等。因此，命令行GPG类型的东西不是一种选择。我们使用Exchange Server和Outlook 2007作为我们的电子邮件系统。

是否有一个程序可以用来轻松加密电子邮件，然后通过传真或密钥给收件人打电话？（或者我们的电子邮件中可以包含指向我们网站的链接，其中包含我们的公共密钥，收件人可以下载该链接以解密该邮件吗？）我们不必发送许多此类加密的电子邮件，但是将要发送的人会不是特别技术，所以我希望它尽可能简单。好的程序的任何记录都会很棒。谢谢。

我们必须与我们的PCI客户进行类似的尝试。最好的方法是使用某些版本的PGP / GPG。

话虽如此，它确实没有您想像的那么痛苦。我们已经与数百名非技术用户一起完成了此任务。我们要做的是选择两种产品-免费的GPG（Kronick州有GUI前端）以及PGP软件的付费。我们写了一些非常好的文档，可以发送给客户，指导他们如何使用他们选择的软件，并对客户经理进行基本故障排除以及如何使用软件的培训。

这就使95％的客户端问题无法进入IT队列。对于另外5％的客户，我们提供了IT资源来回答问题，在最坏的情况下，我们也请电话帮助客户解决问题。

作为替代方案，我们还购买了一些winzip许可证，以便可以将内置AES加密与密码一起使用。商用PGP软件具有创建仅通过密码短语打开的加密文件的功能。虽然说实话，使用PGP的效果很好，但我认为我每年只创建2到3次此类文件。

让他们通过SSL加密的数据并在其末端打印一个按钮来检查网站是否更容易？这样一来，您无需传输任何内容，就可以控制数据的分发。

对于您的用户而言，任何带有电子邮件的内容都可能太困难了；他们将涉及到密钥生成或下载密钥环，或其他使用户感到麻烦或混乱的事情。除非用户只是沮丧地放弃，否则您的支持费用将激增。

是否只需要在传输中（SMTP / TLS）或在存储中/在端点处（PGP等）对其进行加密？

按照类似的法规，我通常在两个经常发送/接收私人/受保护信息的组织之间建立PKI / SMTP / TLS。我只是在与所讨论的域匹配的每个组织中设置了一个智能主机，以在适用时通过站点到站点VPN隧道路由邮件，或者使用SMTP / TLS对通过Exchange传输的邮件进行加密。

您应该看看Exchange Server 2007 SP1上的S / MIME和OWA安全消息传递 如果要加密消息。此解决方案还需要额外的步骤，因为用户必须选择加密按钮（由于您必须以某种方式假设所有用户都不会犯错误并且不加密他们应该拥有的电子邮件，因此这也可能不合法。）您需要做的是确保要发送马萨诸塞州PII的目的地正在使用TLS（您必须具有该信息，因为您必须按照CMR 17.04审核可能发送给Mass.PII的每个人）。您可能还应该编写一个使用正则表达式来搜索Mass PII的传输规则。马萨诸塞州PII定义为居民的名字和姓氏的组合，并与以下其中一个相关：驾驶执照号，信用卡号或社会安全号。

脱位，但生发...

请为那些阅读此书并以为您很幸运不住在MA的人注意，Suprise！如果您存储马萨诸塞州居民的个人信息，则无论您在马萨诸塞州是否有业务存在，都将受到201 CMR 17.00规定的罚款。这可能会导致$ 100的记录丢失，每个“事件”最多$ 50K。MA 93H通用法律规定，每次“违规”将被罚款$ 5,000。这到底是什么意思呢？我不认为任何人都不会知道，直到有人被它击中。

重要的是要注意，这不是一个简单的话题-这是我和Zypher之间关于他的回答的讨论的内容：

我：使用任何类型的最终用户选项都使您承担责任，与PCI不同，法律要求您必须解决任何合理的问题（例如joe用户未使用该技术）

Zypher：如果用户不给您密钥，则不使用pgp，则不会使用。基本上，在这种情况下，他们被迫使用它；否则，他们要么A）没有获取数据，要么B）无法读取数据。

我：您如何确保每个发送数据的用户都将加密每封电子邮件？就像SMIME解决方案一样，您必须选择对电子邮件进行加密，使其无法强制执行-否则我会丢失什么？

Zypher：这很简单，如果您发送的电子邮件中包含需要加密而不加密的信息，则将您开除原因（随意表示这意味着没有失业）。并非所有内容都需要成为技术解决方案。从问题上讲，这不会经常执行，因此涉及更多解决方案可能不值得付出成本/收益。如果他们每天都需要这样做，我会提倡完全不使用电子邮件，而转而使用SSL转换为在线表单。

我：IANAL-但我一直听不清他们的意见，法律正在有效地表明它必须是一种技术解决方案-“但我有一项政策”事实上证明了您应该减轻的那些“合理可预见的”问题中的一个没有缓解。惩戒违反者也是法律的一部分。看看这个讨论informationweek.com/blog/main/archives/2009/02/…

Zypher：实际上，如果您阅读17.03.2.b（在这里：mass.gov/Eoca/docs/idtheft/201CMR1700reg.pdf），我有一项政策并对其人员进行了培训，并且采取纪律措施实际上是无可辩驳的。实际上，唯一提到的技术解决方案是防止终止的员工访问记录。IAANAL（我也不是律师）。

我：-1,2,3只是希望被包括而不是确定的解决方案，2b是适用的特定用语（我作弊并请律师）。如果您不得不说“我可以辩护”，法院可能会压垮您。对于合规性问题，您必须证明自己正在遵守法规。规章专门说“可预见的”。如果您在法庭上站起来并说“好吧，如果有人违反了这项政策，他们将被解雇”，那么起诉只会是“说，因此您承认您预见了一种违反该政策的方法，并且没有采取合理的措施删除问题？”

Zypher：该死的你作弊。好了，现在我们也必须定义合理的范围，对于我的公司（拥有超过10万名员工的大型跨国公司）来说，合理的范围与妈妈和流行商店的合理范围不同。但是基于同样的理由，我认为我们离站点的问答环节还很遥远……这很不幸，因为此讨论提供了一些很好的见识。

我：这是“合理可预见的”，而不是“合理合理的安全”或什至合理的实施。请记住，从法律上讲，在人员名称上使用rot13而不使用其他任何遵循加密的标准方式。该讨论非常有用，因此我将编辑答案以使其包含在内，以免丢失。

GPG具有用于Windows的实用程序和用于电子邮件客户端的插件（主要是Outlook和eudora）：http ://openpgp.vie-privee.org/gnupg-win.htm 它可以满足您的需求，因为您只需要右键单击并“ encrypt”，不需要CLI :)

您可以尝试Djigzo电子邮件加密网关（免责声明：我是Djigzo的作者）。Djigzo电子邮件加密网关是基于开源标准的开源集中管理的电子邮件服务器（MTA），可在网关级别对传入和传出的电子邮件进行加密和解密。Djigzo电子邮件加密网关当前支持两种加密标准：S / MIME和PDF加密电子邮件。S / MIME提供身份验证，消息完整性和不可否认性（使用X.509证书）以及防止消息拦截的保护。S / MIME使用公共密钥加密（PKI）进行加密和签名。PDF加密可以用作S / MIME加密的轻量级替代方案。PDF使您可以解密和读取加密的PDF文档。PDF文档甚至可以包含嵌入在加密PDF中的附件。

Djigzo电子邮件加密网关具有内置的CA，可用于为内部和外部用户颁发X.509证书。外部用户可以将证书与任何具有S / MIME功能的电子邮件客户端（例如Outlook，Outlook Express，Lotus Notes，Thunderbird，Gmail等）一起使用。

由于Djigzo电子邮件加密网关可以用作一般的SMTP电子邮件服务器，因此它与现有的电子邮件基础结构（如Microsoft Exchange和Lotus Notes）兼容。可以使用Ubuntu Linux，Debian，Red Hat和CentOS提供的软件包之一安装Djigzo。可以运行适用于VMware ESX和Workstation的“虚拟设备”。

因为它是开源的，所以可以自由使用。可以从我们的网站（www.djigzo.com）下载源代码和二进制包。

实际上，法律说要加密敏感数据，而不一定是消息。如果数据是文件（通常是文件），那么到目前为止最简单的方法是仅加密文件。

假设您的目标是一个非常易于使用和部署的解决方案，该解决方案可在您的各种客户群中使用。

美国空军研究实验室的加密向导（http://spi.dod.mil/ewizard.htm）是免费的，具有DoD认证的简单文件加密器。它处理密码，智能卡和证书。它的“安全删除”功能可以擦除公共计算机上的敏感文件。

除了拥有Java外，在两台计算机上都无需安装或配置任何东西-只需运行.jar文件即可。加密向导可以在Mac，Windows，Linux，Sun和其他运行Oracle Java的操作系统上运行。

使用EW，从零开始，您可以在一分钟内加密并发送文件，而配方者可以在相同的时间内解密（假设您使用证书或使用密码呼叫此人）。

有更好的大型企业内部解决方案，但是我们发现没有什么比这更好的了，它可以随时随地为几乎每个人使用。