Amgryptio E-Bost
-
- Rhan o:
- Canolfan Cymeradwyo
Nid yw e-bost yn ddiogel yn ddiofyn, yn ddamcaniaethol gall unrhyw un sydd â mynediad at e-bost wrth iddo deithio ar hyd y rhyngrwyd weld ei gynnwys. Mae cynnwys e-bost heb ei ddiogelu’n debyg i gerdyn post tra bydd ar ei ffordd drwy system ddanfon y post.
Mae’r diagram isod yn dangos taith syml e-bost heb ei amgryptio. Nid yw’n debygol y bydd rhywun â mynediad at y llwybr mae’r e-bost yn ei ddilyn ar hyd y rhyngrwyd yn gallu ei ddarllen, ond mae’n bosibl.
Gellir defnyddio amgryptio i leihau’r perygl y bydd yr e-bost yn cael ei weld ar ei daith rhwng systemau e-bost.
Argymhellir fod unrhyw e-bost sy’n cynnwys data personol yn cael ei amgryptio. Bydd gwneud hynny’n sicrhau na fydd haciwr, boed yn lwcus neu’n glyfar, yn gallu darllen cynnwys yr e-bost ar ei daith ar hyd y rhyngrwyd.
Mae sawl opsiwn gwahanol ar gyfer amgryptio e-bost, ac mae rhai’n haws i’w defnyddio na’i gilydd, er y dylai’r dewis o ddull amgryptio gael ei seilio’n bennaf ar sensitifrwydd yr e-bost.
Mae tair ffordd o amgryptio e-bost ar gael yn Hwb:
-
Mae amgryptio sy’n seiliedig ar TLS (yr un dull amgryptio sy’n cael ei ddefnyddio ar gyfer mynediad diogel i wefannau; yng nghyd-destun negeseuon e-bost cyfeirir ato’n aml fel STARTTLS) yn ddewisol ar gyfer gweinyddion e-bost sy’n cyfnewid negeseuon e-bost dros y rhyngrwyd.
Mae’r diagram isod yn dangos cwmpas effeithiolrwydd TLS wrth ei ddefnyddio i gyfathrebu rhwng gweinyddion e-bost.
Ar ôl i e-bost gael ei anfon i weinydd e-bost y derbynnydd, dylid nodi fod amgryptio negeseuon wedi hynny’n ddibynnol ar unrhyw daith ymlaen a hefyd ar ffurfwedd ap e-bost y derbynnydd.
Gall y rhan fwyaf o wasanaethau e-bost, fel Office 365 a Gmail, ddefnyddio TLS, ond nid yw pob gwasanaeth yn gallu ei ddefnyddio, felly ni ellir ei ffurfweddu fel gofyniad ar gyfer pob e-bost i ac oddi wrth Hwb, gan y byddai hynny’n atal rhai systemau e-bost rhag gallu anfon neu dderbyn negeseuon e-bost gan Hwb.
Fodd bynnag, gydag Office 365 mae modd gorfodi TLS mewn modd dethol; mae gwasanaeth e-bost Hwb wedi’i ffurfweddu i ganiatáu’r defnydd ymarferol ehangaf o TLS gorfodol.
Ffurfwedd Hwb
Mae Hwb wedi’i ffurfweddu i orfodi TLS ar gyfer pob e-bost sy’n cael eu hanfon a’u derbyn:
- Rhwng defnyddwyr Hwb
- Rhwng Hwb a Parthau Dibynadwy
Nid oes angen i ddefnyddwyr wneud dim, mae amgryptio’n cael ei roi ar waith yn dryloyw’n ôl rheolau sydd wedi’u rhag ddiffinio.
Mae’r ffurfwedd ar gyfer TLS gorfodol ar Hwb yn cynnwys:
- Gwirio cofnod DNS MX cyrchfan y parth
- Cadarnhau bod y gweinydd post yn gydnaws â STARTTLS
- Creu rheol llif post Exchange Online sy’n datgan bod TLS ar gyfer pob e-bost yn seiliedig ar:
- Parth
Mae hyn yn dweud wrth Office 365 pa negeseuon sy’n berthnasol i’r rheol.
Enghraifft ffurfwedd: hwbcymru.net - Cyfeiriad gweinydd e-bost (o gofnod MX)
Mae hyn yn helpu i atal newidiadau maleisus i DNS o ganlyniad i e-bost yn cael ei ailgyfeirio i systemau sy’n cael eu rheoli gan hacwyr. Enghraifft ffurfwedd: protection.outlook.com - Gofyniad am dystysgrif TLS a gyhoeddir gan CA
Mae hyn yn helpu i sicrhau bod y gweinydd post yn cael ei ‘ddilysu’ mewn modd dibynadwy cyn bod yr e-bost yn cael ei anfon.
- Parth
Mae’r ffurfwedd yn un na all fethu, sy’n golygu os bydd yr amgryptio’n methu am unrhyw reswm, ni fydd yr e-bost yn cael ei anfon.
-
Mae Message Encryption Office 365 (OME) yn wasanaeth Microsoft sy’n benodol i Office 365, ac sydd wedi’i drwyddedu i holl ddefnyddwyr Hwb.
Mae OME yn defnyddio cyfuniad o amgryptio a rheoli hawliau i alluogi diogelwch sy’n aros gyda’r e-bost ar ôl iddo gael ei anfon. Mae hyn yn rhoi sicrwydd ychwanegol mai dim ond pobl mae wedi ei rhannu â hwy fydd yn cael mynediad at yr wybodaeth.
Mae Message Encryption OME wedi ei ffurfweddu i weithio’n awtomatig os yw defnyddiwr yn cynnwys y geiriau allweddol ‘secure mail’ neu ‘post diogel’ yn llinell destun yr e-bost.
-
Dylid ystyried defnyddio S/MIME gyda gwybodaeth fwy sensitif, yn enwedig os nad yw rheolaethau eraill, fel MFA, yn ymarferol.
Mae S/MIME yn gweithio drwy ddefnyddio tystysgrifau; mae un yn gyhoeddus ac mae un yn breifat. Mae’r dystysgrif gyhoeddus yn cael ei rhannu â phobl eraill a gellir ei defnyddio i amgryptio negeseuon. Bydd angen tystysgrif gyhoeddus rhywun arnoch os ydych chi am anfon negeseuon wedi’u hamgryptio â S/MIME atynt.
Defnyddir y dystysgrif breifat i ddatgloi negeseuon e-bost; rhaid cadw’r dystysgrif hon yn gyfrinachol. Ar ôl ei osod bydd yn cael ei ddiogelu gan feddalwedd y cyfrifiadur. Bydd angen storio unrhyw gopïau wrth gefn o’r dystysgrif breifat yn ddiogel.
Y dystysgrif hon yw’r un sy’n sicrhau budd mwyaf S/MIME, byddai’n rhaid i haciwr gael mynediad at eich dyfais a’r dystysgrif breifat i allu gweld negeseuon e-bost wedi’u hamgryptio â S/MIME.
Os bydd haciwr yn dyfalu eich cyfrinair ac yn gallu mewngofnodi i Hwb, ond heb fynediad at eich dyfais, byddant yn gallu gweld eich e-bost, ond bydd unrhyw negeseuon sydd wedi’u hamgryptio â S/MIME yn parhau wedi’u hamgryptio ac ni all yr haciwr eu gweld.
Mae S/MIME yn opsiwn sydd ar gael i bob un o ddefnyddwyr Hwb. Bydd angen i ddefnyddiwr gael tystysgrif leol, y gellir ei ffurfweddu’n lleol ac ni fydd angen i dîm gweinyddol Hwb wneud dim newidiadau i Hwb.
Bydd e-bost wedi’i ddiogelu gyda S/MIME ar gael ar ddyfeisiadau sydd wedi’u ffurfweddu gyda’r tystysgrifau cyfatebol yn unig; os amharwyd ar flwch post o ddyfais arall, ni fydd modd cael mynediad at negeseuon e-bost S/MIME.
Nodiadau:
- Bydd angen eu tystysgrif eu hunain ar yr anfonwr a’r derbynnydd
- Rhaid i ddefnyddwyr â gosodiad S/MIME ddewis amgryptio e-bost mewn Outlook (fel arall byddant yn cael eu hanfon yn y ffordd arferol)
Mae’r tabl canlynol yn crynhoi sefyllfaoedd ac ystyriaethau defnydd posibl ar gyfer defnyddio pob un o’r dewisiadau sydd ar gael yn Hwb.
Amgryptio E-bost | Sefyllfa defnydd | Ystyriaethau |
TLS Gorfodol | Rheolaeth Safonol Argymhellir fel y lefel sylfaenol ar gyfer unrhyw e-bost sy’n cynnwys data personol | Dim angen i ddefnyddwyr wneud dim. Wedi’i ffurfweddu gan Dîm Hwb, OND ni fydd yn gweithio oni bai bod sefydliadau partner yn ei gefnogi. |
Message Encryption Office 365
| Rheolaeth Uwch Ar gyfer rhannu gwybodaeth sensitif gyda dosbarthiad cyfyngedig. Mae’n addas ar gyfer negeseuon e-bost na ellir eu diogelu drwy ddefnyddio’r dewisiadau eraill, er enghraifft e-bost at rieni.
| Mae gwahanol gyfyngiadau’n bosibl ar gyfer gwahanol lefelau o sensitifrwydd. Gall helpu i leihau’r peryglon sy’n gysylltiedig â’r defnydd o ddyfeisiadau personol. Bydd angen i dderbynwyr allanol heb gyfrif Microsoft alluogi HTML yn eu cleient e-bost. |
S/MIME | Rheolaeth Uwch. Yn addas ar gyfer yr wybodaeth fwyaf sensitif lle mae angen sicrwydd cadarn mai dim ond y derbynwyr a fwriadwyd fydd yn gallu gweld y cynnwys. | Bydd angen tystysgrif S/MIME ar yr anfonwyr a’r derbynnydd /derbynwyr. Nid yw Hwb wedi’i ffurfweddu ar hyn o bryd i ddefnyddio S/MIME gydag Outlook ar y we. Gellir defnyddio hwn gydag Outlook bwrdd gwaith yn unig. Nid yw’n addas iawn ar gyfer dosbarthu i grwpiau mawr. |
Parthau Dibynadwy
Mae Hwb wedi’i ffurfweddu i orfodi TLS ar gyfer pob e-bost sy’n cael eu hanfon a’u derbyn i’r parthau dibynadwy yma.
-
Blaenau Gwent County Borough Council @blaenau-gwent.gov.uk Bridgend County Borough Council @bridgend.gov.uk Caerphilly County Borough Council @caerphilly.gov.uk Cardiff Council @cardiff.gov.uk Carmarthenshire County Council @carmarthenshire.gov.uk or @sirgar.gov.uk Ceredigion County Council @ceredigion.gov.uk Conwy County Borough Council @Conwy.gov.uk Denbighshire County Council @Denbighshire.gov.uk Flintshire County Council @flintshire.gov.uk Gwynedd Council @gwynedd.gov.uk or @gwynedd.llyw.cymru Isle of Anglesey County Council @ynysmon.gov.uk Merthyr Tydfil County Borough Council @merthyr.gov.uk Monmouthshire County Council @monmouthshire.gov.uk Neath Port Talbot County Borough Council @neath-porttalbot.gov.uk or npt.gov.uk Newport City Council @newport.gov.uk Pembrokeshire County Council @pembrokeshire.gov.uk Powys County Council @powys.gov.uk Rhondda Cynon Taf County Borough Council @RCTCBC.gov.uk Swansea County Borough Council @swansea.gov.uk Torfaen County Borough Council @torfaen.gov.uk Vale of Glamorgan Council @valeofglamorgan.gov.uk Wrexham County Borough Council @Wrexham.gov.uk -
SchoolsEdu @schoolsedu.org.uk Swansea-edunet @swansea-edunet.gov.uk Ysgol Plas Brondyffryn @ypbd.co.uk -
alphaplus @alphaplus.co.uk BFC Networks @bfcnetworks.com BTL @btl.com CareersWales @careerswales.com Method4 @method4.co.uk Microsoft @microsoft.com NHS Wales @wales.nhs.uk Salamandersoft @salamandersoft.co.uk SRS @srswales.com.gov.uk Welsh Government @Gov.Wales WJEC @wjec.co.uk