Szyfrowanie e-maili PGP

Regulamin forum
Uwaga! Poruszamy kwestie wyłącznie zgodne z prawem! Nie namawiamy do łamania prawa! Nie radzimy jak łamać prawo!
Początkujący
Awatar użytkownika
Posty: 79
Rejestracja: 11 grudnia 2017
Reputacja: 61
Reputacja postu: 
0
Napiwki za post: 0 BTC

Szyfrowanie e-maili PGP

Postautor: Piffinator64 » środa, 17 stycznia 2018, 17:24

Nim Edward Snowden, by wytłumaczyć dziennikarzom szyfrowanie PGP, opublikował w sieci takie oto nagranie wideo:

https://vimeo.com/56881481

Szyfrowanie wiadomości e-mail nie jest proste i łatwo zrozumiałe. To nagranie też wtedy nie pomogło. Bezpieczną komunikację w końcu Glennowi Greenwaldowi ustawił ktoś inny.

Jednak przy wszystkich swoich wadach, PGP alternatywy do dziś nie ma.

Czy znacie jakieś inne dobre poradniki na ten temat?

pm7
Moderator
Posty: 7895
Rejestracja: 20 maja 2012
Reputacja: 969
Reputacja postu: 
0
Napiwki za post: 0 BTC

Szyfrowanie e-maili PGP

Postautor: pm7 » czwartek, 25 stycznia 2018, 23:45

Piffinator64 pisze: Jednak przy wszystkich swoich wadach, PGP alternatywy do dziś nie ma.
Dzisiaj "alternatywą" do gpg/pgp stały się szyfrowanie komunikatory jak Signal...

Początkujący
Awatar użytkownika
Posty: 79
Rejestracja: 11 grudnia 2017
Reputacja: 61
Reputacja postu: 
0
Napiwki za post: 0 BTC

Szyfrowanie e-maili PGP

Postautor: Piffinator64 » sobota, 27 stycznia 2018, 19:51

Signal to świetny program i polecam każdej osobie używać go gdzie tylko można, tyle że niezbyt nadaje się do zastąpienia e-maili. To komunikacja na krótszych interwałach czasowych, jak w nieszyfrowanych Gadu-Gadu czy SMSach. Są jeszcze rozmowy głosowe (dawny RedPhone) i wtedy zastępujemy nieszyfrowane rozmowy telefoniczne.

Sam Signal szyfruje lepiej niż PGP, bo między sesjami następuje wymiana kluczy. Złamanie jednego z nich nie oznacza dostępu do wiadomości naprzód i wstecz, jak w przypadku PGP. To tzw. utajnienie przekazywania.

Szkoda, że na rynku kryptowalut strony kontaktowe firm, giełd, kantorów, osób nie wyglądają tak jak tutaj:

https://panoptykon.org/kontakt

Signal, odcisk klucza, e-mail, link do klucza. To powinno być standardem.

pm7
Moderator
Posty: 7895
Rejestracja: 20 maja 2012
Reputacja: 969
Reputacja postu: 
0
Napiwki za post: 0 BTC

Szyfrowanie e-maili PGP

Postautor: pm7 » niedziela, 28 stycznia 2018, 14:43

Piffinator64 pisze: Signal, odcisk klucza, e-mail, link do klucza. To powinno być standardem.
Ja bym się przyczepił do ich strony, bo nie podają klucza publicznego Signal, a mogliby :)
Piffinator64 pisze: Signal to świetny program i polecam każdej osobie używać go gdzie tylko można, tyle że niezbyt nadaje się do zastąpienia e-maili.
Mam wrażenie, że się zaczyna odchodzić od maili.
Jakiś czas temu czytałem, że dziennikarze oferują bezpieczny kontakt przez Signal, bo potrafią go użyć, a szyfrowanych maili nie potrafią.

Dodano po 1 minucie 18 sekundach:
Piffinator64 pisze: Sam Signal szyfruje lepiej niż PGP, bo między sesjami następuje wymiana kluczy. Złamanie jednego z nich nie oznacza dostępu do wiadomości naprzód i wstecz, jak w przypadku PGP. To tzw. utajnienie przekazywania.
Podobnie OTR (do Jabbera/XMPP) oferował kilka funkcji niedostępnych w PGP, ale się nie przyjął.

Początkujący
Awatar użytkownika
Posty: 79
Rejestracja: 11 grudnia 2017
Reputacja: 61
Reputacja postu: 
0
Napiwki za post: 0 BTC

Szyfrowanie e-maili PGP

Postautor: Piffinator64 » niedziela, 28 stycznia 2018, 16:43

pm7 pisze: a bym się przyczepił do ich strony, bo nie podają klucza publicznego Signal, a mogliby
Signal pobiera klucz publiczny Twoich kontaktów z serwera.

Jeśli odcisk się zgadza, a ten podają na stronie, to wszystko jest w porządku. Jeśli się nie zgadza, to nic nie wskóramy, bo urządzenie z drugiej strony i tak oczekuje na transmisję szyfrowaną kluczem, który podaje serwer. To oznacza, że pewnie ktoś zmienił urządzenie. Albo mamy atak MITM. Ale podanie pełnego klucza na stronie zamiast odcisku na stronie nic by nie zmieniło.
pm7 pisze: Mam wrażenie, że się zaczyna odchodzić od maili.
Jakiś czas temu czytałem, że dziennikarze oferują bezpieczny kontakt przez Signal, bo potrafią go użyć, a szyfrowanych maili nie potrafią.
E-maila łatwiej jednak wysłać z pewną dozą prywatności, tworząc szybko nową skrzynkę przez Tora i obsługując ją w ten sposób. W przypadku Signala jest to bardzo trudne. Prywatna jest tylko treść.

Problem z szyfrowaniem poczty elektronicznej jest też taki, że >99,9% użytkowników nie rozumie jak ona działa. Wydaje im się, że już nieszyfrowany e-mail jest prywatny i dociera tylko do adresata. Nic bardziej mylnego.

pm7
Moderator
Posty: 7895
Rejestracja: 20 maja 2012
Reputacja: 969
Reputacja postu: 
0
Napiwki za post: 0 BTC

Szyfrowanie e-maili PGP

Postautor: pm7 » sobota, 3 marca 2018, 12:54

Piffinator64 pisze: Ale podanie pełnego klucza na stronie zamiast odcisku na stronie nic by nie zmieniło.
Zmieniłoby tyle, że możemy podejrzewać atak MITM. Bez podania odcisku, musimy ufać serwerowi Signal lub zorganizować fizyczne spotkanie w celu wymiany odcisków klucza. Mało sensowne.

Początkujący
Awatar użytkownika
Posty: 79
Rejestracja: 11 grudnia 2017
Reputacja: 61
Reputacja postu: 
0
Napiwki za post: 0 BTC

Szyfrowanie e-maili PGP

Postautor: Piffinator64 » sobota, 3 marca 2018, 13:13

pm7 pisze: Bez podania odcisku, musimy ufać serwerowi Signal lub zorganizować fizyczne spotkanie w celu wymiany odcisków klucza.
Dlatego pisałem o odcisku.

Podawanie całego klucza zamiast odcisku niczego nie zmienia. Nawet jest to gorsze, bo klient Signal pozwala łatwo porównywać odciski, nie całe klucze.

pm7
Moderator
Posty: 7895
Rejestracja: 20 maja 2012
Reputacja: 969
Reputacja postu: 
0
Napiwki za post: 0 BTC

Szyfrowanie e-maili PGP

Postautor: pm7 » sobota, 3 marca 2018, 13:21

@Piffinator64, może niejasno napisałem, według mnie Panoptykon powinien podać na swojej stronie klucz/odcisk klucza w postaci zgodnej z tą używaną przez Signal, żeby ludzie mogli się chronić przed MitM.

Obecnie podają tylko numer telefonu.

Dodano po 2 minutach 49 sekundach:
Klucz GPG podają w formie krótkiej, która jest mało bezpieczna, a przecież na stronie zmieściłby im się nawet cały klucz. Szkoda im miejsca na pełen odcisk, że podają skrócony?

https://security.stackexchange.com/ques ... -key-ids-i

Początkujący
Awatar użytkownika
Posty: 79
Rejestracja: 11 grudnia 2017
Reputacja: 61
Reputacja postu: 
0
Napiwki za post: 0 BTC

Szyfrowanie e-maili PGP

Postautor: Piffinator64 » sobota, 3 marca 2018, 13:32

pm7 pisze:@Piffinator64, może niejasno napisałem, według mnie Panoptykon powinien podać na swojej stronie klucz/odcisk klucza w postaci zgodnej z tą używaną przez Signal, żeby ludzie mogli się chronić przed MitM.
Też popełniłem błąd. Wydawało mi się, że podają odcisk klucza Signal.

W takim razie się zgadzam.

Wróć do „Anonimowość i bezpieczeństwo w sieci”

Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 1 gość