Szyfrowana, anonimowa komunikacja?

Regulamin forum
Uwaga! Poruszamy kwestie wyłącznie zgodne z prawem! Nie namawiamy do łamania prawa! Nie radzimy jak łamać prawo!
Weteran
Posty: 2256
Rejestracja: 23 marca 2013
Reputacja: 140
Reputacja postu: 
0
Napiwki za post: 0 BTC

Re: Szyfrowana, anonimowa komunikacja?

Postautor: AdamM » środa, 8 kwietnia 2015, 00:29

The Real McCoin pisze:
AdamM pisze:
ProtonMail's segregated authentication and decryption system means logging into a ProtonMail account that requires two passwords....
Czytałem to, ale nie o to chodzi.
AdamM pisze:Nie znają drugiego hasła użytkownika. Oczywiście zakładając że mają czyste intencje i nie wykorzystają jakiejś sztuczki by je wykraść.
To czy hasło drugiego użytkownika w ogóle będzie potrzebne zależy od tego jakim kluczem publicznym zaszyfrował dane nadawca.
Nie hasło drugiego użytkownika tylko drugie hasło użytkownika. :) Z ich opisu rozumiem że masz dwa hasła. Pierwsze jest do autoryzacji do serwisu a drugie jest twoim kluczem prywatnym. Protonmail nie znając Twojego drugiego hasła, czyli tego będącego kluczem prywatnym nie jest w stanie napisać maila w Twoim imieniu ani odczytać korespondencji zaszyfrowanej Twoim kluczem publicznym.
The Real McCoin pisze:No właśnie, komputer nadawcy dostaje klucz publiczny od Protona, ale skąd pewność, że będzie to klucz odbiorcy, a nie jakiś własny Protona?
Z tego co widzę bazują na PGP. W PGP jest coś takiego jak odcisk palca dla klucza (fingerprint). Powinieneś go mieć z innego źródła i sprawdzić czy się zgadza przy importowaniu klucza publicznego osoby do której chcesz pisać. Nie używałem protona, nie wiem jak to jest u nich rozwiązane.
The Real McCoin pisze:Żeby klucz, który otrzyma komputer był jawny to pewnie nieźle trzeba by się nagrzebać głęboko pod maską, a przecież nie po to przychodzą użytkownicy do Protona.
Nie wiem co masz na myśli... wystarczy go opublikować tak żeby każdy użytkownik mógł go sprawdzić. Tak samo jak to się robi dla PGP na serwerach kluczy.
The Real McCoin pisze:Proton działa w trybie "będzie pan zadowolony", cała czarna robota zostanie wykonana gdzieś przeźroczyście dla klienta.
[...]
Kliencie, wpisz tylko adres odbiorcy i treść wiadomości, a wszystko będzie dobrze. ;)
To opinia użytkownika? Rzeczywiście nie da się weryfikować kluczy znajomych?

Weteran
Posty: 2518
Rejestracja: 21 marca 2014
Reputacja: 1468
Reputacja postu: 
0
Napiwki za post: 0 BTC

Re: Szyfrowana, anonimowa komunikacja?

Postautor: The Real McCoin » środa, 8 kwietnia 2015, 01:28

AdamM pisze:Protonmail nie znając Twojego drugiego hasła, czyli tego będącego kluczem prywatnym nie jest w stanie napisać maila w Twoim imieniu
To zależy, na czym polega po drugiej stronie stwierdzanie co jest moim imieniem, a co nie jest.
AdamM pisze: ani odczytać korespondencji zaszyfrowanej Twoim kluczem publicznym.
Tak, ale chodzi o przypadek, kiedy to ja wysyłam do innego protonowca wiadomość.
Proton może mi podsunąć trefny klucz publiczny i napisać "Nie powiodło się wysyłanie wiadomości. Nasze serwery są chwilo przeciążone. Spróbuj ponownie za chwilę".
I tak może już sobie zdeszyfrować treść.
AdamM pisze:Z tego co widzę bazują na PGP. W PGP jest coś takiego jak odcisk palca dla klucza (fingerprint). Powinieneś go mieć z innego źródła i sprawdzić czy się zgadza przy importowaniu klucza publicznego osoby do której chcesz pisać. Nie używałem protona, nie wiem jak to jest u nich rozwiązane.
Nic nie widziałem na stronie Protona o odcisku klucza, jego posiadaniu z innego źródła, sprawdzaniu i importowaniu.
Z tego co czytałem to głównym założeniem projektu było to, aby system był maksymalnie prosty dla użytkownika.
Gdzieś nawet pisali, że jak ktoś wie coś więcej (czyli pewnie przykładowo wie co to fingerprint klucza) to Proton nie jest mu do niczego potrzebny, bo pewnie już używa PGP.
AdamM pisze:Nie wiem co masz na myśli... wystarczy go opublikować tak żeby każdy użytkownik mógł go sprawdzić. Tak samo jak to się robi dla PGP na serwerach kluczy.
No ale skąd weźmiesz swój klucz publiczny?
Mam publikować go na serwerach trzecich?
Inni użytkownicy mają go sprawdzać?
Oj, takich rzeczy raczej starano się właśnie unikać w Protonie (z tego co czytam).
AdamM pisze:To opinia użytkownika? Rzeczywiście nie da się weryfikować kluczy znajomych?
Nie jestem użytkownikiem i nie będę nawet gdybym chciał bo przestali przyjmować nowych :)
Dlatego zadaję tutaj takie pytania.

Weteran
Posty: 2256
Rejestracja: 23 marca 2013
Reputacja: 140
Reputacja postu: 
0
Napiwki za post: 0 BTC

Re: Szyfrowana, anonimowa komunikacja?

Postautor: AdamM » środa, 8 kwietnia 2015, 11:47

The Real McCoin pisze:
AdamM pisze:Protonmail nie znając Twojego drugiego hasła, czyli tego będącego kluczem prywatnym nie jest w stanie napisać maila w Twoim imieniu
To zależy, na czym polega po drugiej stronie stwierdzanie co jest moim imieniem, a co nie jest.
A może znaczyć coś innego niż to że została poprawnie podpisana Twoim kluczem prywatnym? Czyli jak rozumiem drugim hasłem do protonmaila, które nie jest do nich wysyłane na serwer a jedynie używane lokalnie.
The Real McCoin pisze:
AdamM pisze: ani odczytać korespondencji zaszyfrowanej Twoim kluczem publicznym.
Tak, ale chodzi o przypadek, kiedy to ja wysyłam do innego protonowca wiadomość.
Proton może mi podsunąć trefny klucz publiczny i napisać "Nie powiodło się wysyłanie wiadomości. Nasze serwery są chwilo przeciążone. Spróbuj ponownie za chwilę".
I tak może już sobie zdeszyfrować treść.
Znalazłem wypowiedź jakiegoś developera: http://security.stackexchange.com/quest ... istributed

Niby pisze że oni zajmują się wymianą kluczy i oni przechowują wszystkie klucze publiczne. Jeśli jest jak mówisz i ten przeglądarkowy soft nie sprawdza czy klucz publiczny nie został podmieniony to średnio to wygląda.
The Real McCoin pisze:
AdamM pisze:Nie wiem co masz na myśli... wystarczy go opublikować tak żeby każdy użytkownik mógł go sprawdzić. Tak samo jak to się robi dla PGP na serwerach kluczy.
No ale skąd weźmiesz swój klucz publiczny?
Mam publikować go na serwerach trzecich?
Inni użytkownicy mają go sprawdzać?
Oj, takich rzeczy raczej starano się właśnie unikać w Protonie (z tego co czytam).
Nie wiedziałem że nie ma dostępu do kluczy publicznych. W takiej sytuacji jeśli im się nie ufa to chyba w ogóle nie ma sensu używać. Bo chyba innej możliwości nie mamy niż sprawdzać samemu albo ufać softowi, który sprawdza za nas...

Weteran
Posty: 2518
Rejestracja: 21 marca 2014
Reputacja: 1468
Reputacja postu: 
0
Napiwki za post: 0 BTC

Re: Szyfrowana, anonimowa komunikacja?

Postautor: The Real McCoin » czwartek, 16 kwietnia 2015, 20:47

AdamM pisze:A może znaczyć coś innego niż to że została poprawnie podpisana Twoim kluczem prywatnym? Czyli jak rozumiem drugim hasłem do protonmaila, które nie jest do nich wysyłane na serwer a jedynie używane lokalnie.
Klucze prywatne, drugie hasła? WTF?
To jest serwis dla prostych ludzi.
Jak otrzymasz wiadomość od jakiegoś protonowca, to w polu "od" pewnie będzie widniał janusz@protonmail.ch.
Skoro serwis twierdzi, że wiadomość napisał janusz, to najwidoczniej musiało tak być.
Janusz napisał we własnym imieniu.
Gwarantuje to Szwajcaria.
Szwajcaria jest zajebista.
AdamM pisze:Znalazłem wypowiedź jakiegoś developera: http://security.stackexchange.com/quest ... istributed

Niby pisze że oni zajmują się wymianą kluczy i oni przechowują wszystkie klucze publiczne. Jeśli jest jak mówisz i ten przeglądarkowy soft nie sprawdza czy klucz publiczny nie został podmieniony to średnio to wygląda.
Jak widzisz głęboko trzeba grzebać żeby sprawdzić co się dzieje i nad tym zapanować.
No ale to jest serwis dla w miarę normalnego użytkownika, który nie jest w stanie grzebać i dlatego, jak piszą na stronie głównej: "No private / public key management."
AdamM pisze:W takiej sytuacji jeśli im się nie ufa to chyba w ogóle nie ma sensu używać.
Rzuć okiem na inną usługę pocztową "z listy", tym razem niemiecką, ale bardzo podobną: tutanota.com
Działa identycznie. Wypełnia się pole "do" i jakieś klucze gdzieś krążą, coś się szyfruje i wszystko powinno się dobrze skończyć.
Widzę, że nie tylko ja mam wątpliwości:
Jeffrey Goldberg pisze:PKI is hard

If you were to encrypt mail to your friend alice@example.com you need to know that the public key you are using really belongs to the real Alice. But this system (as far as I can see) only tells you that the key belongs to whoever had access to Alice's email at the time that account was created.

The point of encrypting mail is because you are (correctly) concerned that someone else could be reading Alice's mail. You need a mechanism to determine that the key that you are using for Alice really belongs to the Alice you want.

This kind of thing is handled with expecting people to confirm key fingerprints, which are transmitted through some trusted channel. This is something that we know from years of experience people don't do.

The other approach for this is for some trusted party to verify that Alice's key actually belongs to Alice. That is something acts as a "Certificate Authority". It doesn't appear (at first glance) that tutanota does this in a meaningful way. Again, remember that it is the email channel you are trying to secure, so you can't use email itself to prove that you are who you say you are.

Quite frankly, we don't have a good solution to this problem. Tutanota doesn't offer anything new, and it appears to ignore the problem entirely.
Źródło: http://www.quora.com/Just-came-across-T ... tanota-com

pm7
Weteran
Posty: 7893
Rejestracja: 20 maja 2012
Reputacja: 969
Reputacja postu: 
0
Napiwki za post: 0 BTC

Re: Szyfrowana, anonimowa komunikacja?

Postautor: pm7 » piątek, 17 kwietnia 2015, 09:28

Powtórzę się, ale co tam: Namecoin jest rozwiązaniem.
Jak stworzymy lekkiego klienta, będzie można wmontować prawdziwie bezpieczną komunikację w cokolwiek,
choćby klienta poczty / komunikator. Ludzie przekazując jedną, prostą informację (nick) umożliwią znalezienie adresu
(mail/jabber/cokolwiek) i bezpiecznie powiązanego klucza publicznego.

Weteran
Posty: 2518
Rejestracja: 21 marca 2014
Reputacja: 1468
Reputacja postu: 
0
Napiwki za post: 0 BTC

Re: Szyfrowana, anonimowa komunikacja?

Postautor: The Real McCoin » sobota, 18 kwietnia 2015, 12:04

pm7 pisze:Powtórzę się, ale co tam: Namecoin jest rozwiązaniem.
Namecoin daje tylko to, że obie strony, w zestawionym wcześniej kanale komunikacyjnym, muszą się wymienić dość prostą informacją, która jest przyjaznym dla człowieka aliasem (zamiast operowania bezpośrednio na kluczach kryptograficznych czy ich odciskach) oraz to, że kanał ten nie musi być poufny, a jedynie uwierzytelniony, jeżeli nie przeszkadza nam to, że osoba fizyczna zostanie powiązana z aliasem.
Nie rozwiązuje jednak tego, że sam bezpieczny kanał trzeba ustanowić, a trudno o takim mówić, że jeżeli obie strony nie spotkały się osobiście w ustronnym miejscu i wyszeptały sobie czegoś do ucha.
Zapewnienie silnej prywatności jest trudne albo bardzo trudne, a jeżeli ktoś twierdzi, że u niego to jest proste, to znaczy, że czegoś nam nie mówi.

pm7
Weteran
Posty: 7893
Rejestracja: 20 maja 2012
Reputacja: 969
Reputacja postu: 
0
Napiwki za post: 0 BTC

Re: Szyfrowana, anonimowa komunikacja?

Postautor: pm7 » sobota, 18 kwietnia 2015, 13:04

Czemu poufne miejsce i jakieś szeptanie? ID w Namecoin nie jest czymś niejawnym. Tak, jeżeli chcesz stworzyć kanał bez wcześniejszego spotkania i pewności to jest problem. Jedyne co daje Namecoin to pewność, że rozmawiasz z właścicielem danego nicku (oczywiście, pomijając włamania). Dla mnie jest to dużo, bo ludzie spotykający się fizycznie wymieniają się czasami mailami, ale prawie nigdy kluczami publicznymi (za długie). Wymiana ID w Namecoin byłaby nawet prostsza niż podanie maila, więc jest szansa, że zwiększy to używalność szyfrowania asymetrycznego.

Jeżeli chodzi o nawiązanie bezpiecznego połączenia przez internet bez wcześniejszej znajomości drugiej osoby, powiem tak: według mnie, nie da się. Możemy co najwyżej zwiększać szanse, że nie rozmawiamy z kimś podszywającym się dzięki publicznym/rozproszonym podpisom (architektura SSL/GPG).

Weteran
Awatar użytkownika
Posty: 1780
Rejestracja: 3 kwietnia 2013
Reputacja: 0
Reputacja postu: 
0
Napiwki za post: 0 BTC

Re: Szyfrowana, anonimowa komunikacja?

Postautor: Nuke » środa, 22 kwietnia 2015, 21:08

Nie wiem czy za-
uwarzyliście ale wymiana niku jest decydowanie prostsza,
który to można przedstawić w bardziej
elokwentnej formie niż jakiś długi klucz ;]
Jedyna darmowa infolinia bitcoin

Mądrzy ludzie mówią, ponieważ mają coś do powiedzenia, głupi - ponieważ muszą coś powiedzieć.
Kup/sprzedaj Bitcoin przy pomocy localbitcoins
Proszę o zostawianie komentarzy.

Dyskutant
Posty: 229
Rejestracja: 19 kwietnia 2013
Reputacja: 0
Reputacja postu: 
0
Napiwki za post: 0 BTC

Re: Szyfrowana, anonimowa komunikacja?

Postautor: bitdreamer » środa, 22 kwietnia 2015, 21:56

@Nuke owszem, zauważyliśmy ;) :
pm7 pisze:Powtórzę się, ale co tam: Namecoin jest rozwiązaniem.
Jak stworzymy lekkiego klienta, będzie można wmontować prawdziwie bezpieczną komunikację w cokolwiek,
choćby klienta poczty / komunikator. Ludzie przekazując jedną, prostą informację (nick) umożliwią znalezienie adresu
(mail/jabber/cokolwiek) i bezpiecznie powiązanego klucza publicznego.

Początkujący
Awatar użytkownika
Posty: 1
Rejestracja: 3 marca 2016
Reputacja: 0
Reputacja postu: 
0
Napiwki za post: 0 BTC

Re: Szyfrowana, anonimowa komunikacja?

Postautor: BitKat » czwartek, 3 marca 2016, 19:19

menesis pisze:mail
W przypadku skrzynek pocztowych największą anonimowość zapewnia tymczasowy email w połączeniu z siecią Tor. Dziwne że tutaj jeszcze nie padła odpowiedź ale do bezpiecznej komunikacji można używać systemu operacyjnego Whonix który działa w sieci wewnętrznej (stacja robocza+bramka wyjściowa) w wirtualnej maszynie. Calutki ruch tuneluje torem. Dodając do tego VPN praktycznie 100%* anonimowości. :-)

Weteran
Posty: 2518
Rejestracja: 21 marca 2014
Reputacja: 1468
Reputacja postu: 
0
Napiwki za post: 0 BTC

Szyfrowana, anonimowa komunikacja?

Postautor: The Real McCoin » poniedziałek, 2 grudnia 2019, 23:00

Chciałbym przesyłać wskazane pliki ze smartfona A lub komputera B na komputer C, który nie zawsze jest włączony.
Pliki powinny być oczywiście zaszyfrowane. Chciałbym mieć kontrolę nad kluczem lub hasłem je zabezpieczającym.
Czyli wskazuję wybrane pliki na A lub B i klikam wyślij, a na C mogę je odebrać. Na wszystkich urządzeniach mogę umieścić jakiś klucz czy coś.
Jak to zrobić?
Czy to jest w ogóle możliwe?

Początkujący
Awatar użytkownika
Posty: 86
Rejestracja: 11 grudnia 2017
Reputacja: 62
Reputacja postu: 
0
Napiwki za post: 0 BTC

Szyfrowana, anonimowa komunikacja?

Postautor: Piffinator64 » poniedziałek, 9 marca 2020, 13:32

The Real McCoin pisze: poniedziałek, 2 grudnia 2019, 23:00Czy to jest w ogóle możliwe?
Jeśli nie zawsze jest włączony, potrzebujesz trzeciego urządzenia, gdzie pliki te będą tymczasowo przechowywane. Jest to możliwe do zrobienia w taki sposób, by dostępu do treści nie miało zarówno to trzecie urządzenie, jak i by treść nie była widoczna podczas przesyłu. Tak będzie, jeśli postawisz tam serwer NextCloud.

Weteran
Posty: 2256
Rejestracja: 23 marca 2013
Reputacja: 140
Reputacja postu: 
0
Napiwki za post: 0 BTC

Szyfrowana, anonimowa komunikacja?

Postautor: AdamM » poniedziałek, 23 marca 2020, 20:50

The Real McCoin pisze: poniedziałek, 2 grudnia 2019, 23:00 Chciałbym przesyłać wskazane pliki ze smartfona A lub komputera B na komputer C, który nie zawsze jest włączony.
Pliki powinny być oczywiście zaszyfrowane. Chciałbym mieć kontrolę nad kluczem lub hasłem je zabezpieczającym.
Czyli wskazuję wybrane pliki na A lub B i klikam wyślij, a na C mogę je odebrać. Na wszystkich urządzeniach mogę umieścić jakiś klucz czy coś.
Jak to zrobić?
Czy to jest w ogóle możliwe?
A może po prostu dropbox albo inne google drive? ;) Zaszyfrowane pliki trzymasz w synchronizowanym katalogu.

Początkujący
Awatar użytkownika
Posty: 86
Rejestracja: 11 grudnia 2017
Reputacja: 62
Reputacja postu: 
0
Napiwki za post: 0 BTC

Szyfrowana, anonimowa komunikacja?

Postautor: Piffinator64 » piątek, 22 maja 2020, 12:41

Nie jest to proste o tyle, że w takim modelu łatwo o pomyłkę i udostępnienie danych bez ich uprzedniego zaszyfrowania. Wymaga to także zgody na warunki umowy Google lub DropBox, którzy są dostawcami wyjątkowo wrogimi prywatności. Druga z tych firm, choć nie znalazła się na udostępnionych w 2013 slajdach, wg informacji Edwarda Snowdena sama zabiegała o przystąpienie do programu PRISM.

W takim modelu dostawcy ci otrzymują także metadane o sposobie korzystania przez nas z ich infrastruktury.

Weteran
Posty: 2379
Rejestracja: 3 kwietnia 2013
Reputacja: 3718
Reputacja postu: 
1
Napiwki za post: 0 BTC

Szyfrowana, anonimowa komunikacja?

Postautor: BitBoy » piątek, 22 maja 2020, 18:33

Jako użytkownik Protona dodam że na komputerze można zainstalować ich program ProtonMail Bridge. Działa on w tle i pozwala na odczyt szyfrowanej poczty przez program pocztowy np. Thunderbird.
https://protonmail.com/bridge/

Początkujący
Posty: 279
Rejestracja: 30 stycznia 2020
Reputacja: 113
Reputacja postu: 
0
Napiwki za post: 0 BTC

Szyfrowana, anonimowa komunikacja?

Postautor: ttbit » piątek, 22 maja 2020, 21:09

BitBoy pisze: piątek, 22 maja 2020, 18:33Jako użytkownik Protona dodam że na komputerze można zainstalować ich program ProtonMail Bridge. Działa on w tle i pozwala na odczyt szyfrowanej poczty przez program pocztowy np. Thunderbird.
https://protonmail.com/bridge/


Dopiero od kwietnia 2020 jest open source. Do tej pory nie było kodu źródłowego, był to binarny blob do zainstalowania w systemie, co zdecydowanie odradzałem znajomemu, użytkownikowi Proton Mail. Na to wygląda, że teraz kod już jest dostępny, to dobry krok.

Początkujący
Posty: 85
Rejestracja: 10 maja 2021
Reputacja: -71
Reputacja postu: 
0
Napiwki za post: 0 BTC

Szyfrowana, anonimowa komunikacja?

Postautor: baramundi95 » wtorek, 11 maja 2021, 05:18

W tle to niech oni sobie puszczają muzykę, a nie serwisy robiące nie wiadomo co. Skomplikowany open source długo może przeleżeć aż ktoś wyłuska dziurę, w dodatku wyglądającą na celową.

Wróć do „Anonimowość i bezpieczeństwo w sieci”

Kto jest online

Użytkownicy przeglądający to forum: Bing [Bot] i 2 gości