Med undtagelse af nogle få meget gamle e-mail services, så er alle e-mail krypteret i dag. Forbindelse mellem e-mail klient og e-mail server hos både afsender og modtager er TLS krypteret. Og hvis der er tale om en e-mail der sendes mellem to forskellige e-mail leverandører, fx Gmail og Outlook, så er forbindelsen mellem de to leverandørers e-mail servere også TLS krypteret. Det betyder at indholdet af en e-mail kan kompromitteres tre steder. På afsenders og modtagers computer samt på e-mail serveren hos e-mail leverandøreren.
Hvis muligheden for kompromittering på e-mail serveren ønskes undgået, så benyttes der end-to-end kryptering af en e-mail. Det betyder at indholdet af denne e-mail krypteres hos afsenderen og først dekrypteres hos modtageren. Kun modtageren er i besiddelse af den offentlige nøgle der kan dekryptere indholdet af e-mailen, så derfor kan den ikke kompromitteres på vejen mellem afsender og modtager.
Netop udveksling af nøgler er en udfordring ved end-to-end krypteret e-mail. Der benyttes asymmetrisk kryptering. Det betyder at modtageren danner et nøglepar bestående af en offentlig nøgle, som kan kryptere indhold, og en privat nøgle, som kan dekryptere indhold der er krypteret med den offentlige nøgle. Modtageren sender så sin offentlige nøgle til afsenderen, som afsenderen så bruger til at kryptere sin e-mail med. Når modtageren så modtager en e-mail krypteret med sin egen offentlig nøgle, så bruger modtageren sin egen private nøgle til at dekryptere indholdet. Denne snørklede proces er automatiseret hos ProtonMail og Tutanota, som tilbyder en end-to-end krypteret e-mail service. Hos begge leverandører af en e-mail service forudsætter det at både afsender og modtager benytter den samme leverandør. Både afsender og modtager skal enten benytte ProtonMail eller Tutanota. Det skyldes netop behovet for at udveksle den offentlig nøgle fra modtager til afsender før en end-to-end krypteret e-mail kan sendes fra afsender til modtager.
Trin 1: Modtager => Modtagers offentlige nøgle => Afsender
Trin 2: Modtager <= end-to-end krypteret e-mail <= Afsender
Hvis en end-to-end krypteret e-mail frit skulle kunne sendes mellem to forskellige leverandører af en e-mail service, så ville det kræve at de internet protokoller (regler for kommunikation på internettet) kunne tackle udveksling af den offentlig nøgle fra modtager til afsender før e-mail blev krypteret og afsendt fra afsender til modtager.
Det betyder at hvis du ønsker at skrive “Send en sikker e-mail til mig på xyz@protonmail.com (krypteret)“, så skal du i stedet skrive “Send en sikker e-mail til mig på xyz@protonmail.com (krypteret, hvis du selv benytter en ProtonMail)“. Og vær opmærksom på at kun besked-felt og vedhæftede filer er end-to-end krypteret hos ProtonMail, ikke emne-feltet. Hos Tutanota er både emne-felt, besked-felt og vedhæftede filer derimod end-to-end krypteret.
Fx dette eksempel fra DRs artikel “Røvhullerne går fri: Betjente fortæller, at de bevidst undgår at sigte personer for at lukke sager“, hvor der står følgende om at benytte en ProtonMail.
Ikke automatiseret end-to-end krypteret e-mail er mere sikker
Ved brug af end-to-end krypteret e-mail, fx håndteret i Tails OS, benyttes et krypterings/dekrypterings program og en webbaseret e-mail tjeneste i Tor Browseren. Dette giver en øget sikkerhed at de to trin i processen hos både afsender og modtager er adskilt og gør også den samme proces meget mere kompliceret og besværlig. Denne brug af end-to-end krypteret e-mail omtales ofte som PGP kryptering.
