Spiega alle persone che posso crittografare le email

31

So che non è ancora molto facile usare PGP per un utente medio. Tuttavia, la situazione sta migliorando (ci sono alcuni plugin facili che possono anche essere ben integrati nella tua webmail GMail). Inoltre, i comunicati stampa dell'ultima volta potrebbero aver incoraggiato le persone a pensare un po 'di più alla loro sicurezza.

Qual è il modo migliore per dire alle persone che sono in grado di crittografare le email usando lo standard OpenPGP?

Possibili soluzioni potrebbero essere:

  • Firma ogni messaggio in uscita

    Tuttavia, questo produrrà sempre molto testo anche per un piccolo messaggio. Questo sicuramente mi infastidirebbe se non ne sapessi nulla o se non mi importasse.

    -----BEGIN PGP SIGNED MESSAGE-----
    Hash: SHA256
    
    Hi, yes that is okay.
    
    -----BEGIN PGP SIGNATURE-----
    
    [ a lot of stuff ]
    
    -----END PGP SIGNATURE-----
    
  • Includi un testo nella firma della mail

    Si potrebbe scrivere qualcosa come:

    Please note that unencrypted emails can be easily intercepted and read by third parties. For transmitting confidential information please consider encrypting your emails. My PGP key fingerprint is XX XX XX XX XX XX XX.

    Ci sono dei suggerimenti su come scrivere in modo più preciso, mantenendolo breve e dolce?

  • Chiedili direttamente per crittografare i loro messaggi

Quali sono i pro / contro di ciascuna soluzione e in che modo puoi mostrare alle persone che potrebbero essere necessari meno di cinque minuti per installare un plug-in del browser appropriato e generare una coppia di chiavi con esso? Devo offrire loro che io possa eventualmente aiutare?

    
posta MrD 12.09.2014 - 15:09
fonte

3 risposte

26
  • Firmare mail è nella mia esperienza il metodo migliore per mostrare agli altri che possono inviarti messaggi crittografati. Se utilizzano OpenPGP in ogni caso, il loro client di posta elettronica potrebbe anche abilitare automaticamente le e-mail crittografate come risposte a quelle firmate. Recentemente sono rimasto molto sorpreso a ricevere (C / MIME) la posta cifrata da una banca e da un istituto di assistenza sanitaria, solo perché ho firmato le mail che ho inviato loro.

    Non è necessario ( e non dovrebbe comunque ) usare testo chiaro (in linea ) firme (con tutta la loro massa), sebbene siano un suggerimento molto presente stai accettando la posta crittografata OpenPGP. Potrebbe essere interessante utilizzarlo se in particolare vuoi spingere gli altri a inviare messaggi crittografati, la tua capacità di farlo, o semplicemente renderli curiosi ... Invece, c'è anche PGP / MIME , che non distrarre nessuno (ma penso che gli utenti di MS Outlook potrebbero vedere alcuni allegati che non capiscono), ma offrono comunque i vantaggi ad altri utenti OpenPGP descritti sopra.

    La firma della posta sempre (usando PGP / MIME o S / MIME) produce un po 'di rumore di sottofondo, ma non disturba e nessuno deve preoccuparsi di alcuni bit aggiuntivi in ogni mail, e si potrebbe ottenere consapevolezza per la firma e la crittografia in la mente subconscia. Ho lavorato bene per me, ho avuto un sacco di persone intorno a me per firmare e cifrare la posta in questo modo (o farlo di nuovo, e regolarmente).

  • Inserisci la tua impronta digitale nella firma e nel tuo biglietto da visita . Aspettati di farti una domanda e sii pronto a spiegare di cosa si tratta.
  • Inserisci la tua chiave pubblica su keyservers . Molti client di posta con supporto per OpenPGP li interrogano automaticamente, soprattutto dopo aver ricevuto la posta firmata.
  • Parla con gli altri. Richiedi loro di inviare informazioni confidenziali crittografate. La crittografia della posta è piuttosto semplice, il mittente non ha nemmeno bisogno di creare la propria coppia di chiavi. Guidare gli altri è piuttosto facile anche sul telefono se si provano i plugin più rilevanti.
  • Considera anche l'uso di S / MIME , anche se è "solo" un certificato CAcert. Anche se il certificato non è affidabile, la maggior parte dei client di posta supporta S / MIME out of the box e rispondere con la posta crittografata è molto più semplice che con OpenPGP: non è necessario alcun plug-in e il certificato viene automaticamente allegato alla posta, il mittente risponde deve fare clic sul pulsante "encrypt".
risposta data 12.09.2014 - 15:52
fonte
6

Includere l'impronta digitale della chiave PGP nella firma non è una buona soluzione perché non c'è modo di verificare l'identità della persona che invia il messaggio. Fornisce un cattivo esempio di cosa è destinato a PGP. Includere l'impronta digitale PGP sul tuo biglietto da visita è un modo ragionevole per gestire le impronte digitali.

Una lunga firma che descrive l'insicurezza delle e-mail periodiche è ragionevole se si lavora professionalmente con dati sensibili. Ad esempio, banca, contabilità, avvocato, ecc.

Suggerisco che se hai a che fare con un pubblico non tecnico, per avere un sito Web con un modulo di invio sicuro in cui possono utilizzare SSL per inviarti informazioni sensibili. Hushmail o soluzioni simili possono essere utilizzate per fare questo, anche se non ti proteggono dalle azioni legali o dalle forze dell'ordine.

Il tuo post ha attirato la mia attenzione grazie alla natura del tuo messaggio crittografato. PGP non firma righe o intestazioni dell'oggetto, quindi questo tipo di messaggio può essere riprodotto e utilizzato contro di te. L'unico indizio che questo potrebbe essere un attacco di replay sarebbe il timestamp nella firma.

ad es.,

Mind if I borrow your car for the weekend?


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Hi, yes that is okay.

-----BEGIN PGP SIGNATURE-----

[ a lot of stuff ]

-----END PGP SIGNATURE-----


Thanks!

Per questo motivo, e il motivo per cui descrivi i messaggi rumorosi, non firmo regolarmente i miei messaggi.

    
risposta data 12.09.2014 - 15:31
fonte
0

In Outlook (non sono sicuro di altri client di posta elettronica), puoi impostare firme separate sia per il messaggio iniziale che per le risposte / inoltro. Suggerirei di inserire un messaggio lì e quindi semplicemente omettere una firma per le risposte (o semplicemente includere la chiave pubblica).

Puoi anche includere un piccolo link per un utente per saperne di più sulla crittografia della posta elettronica.

    
risposta data 12.09.2014 - 15:48
fonte

Leggi altre domande sui tag