Per gli utenti che non utilizzano PGP, quale sarebbe l'altro canale per inviare in modo sicuro un documento?

14

Vorrei inviare un documento che è riservato agli utenti che non hanno idea di cosa sia PGP (quindi non ha senso insegnargli come installarlo ecc ...) via email.

La vera domanda è come farlo?

Attualmente sto pensando ai seguenti approcci e mi chiedo se qualcuno sa quale sia il più sicuro:

Ho le seguenti opzioni:

  • crittografarlo utilizzando la funzionalità di sicurezza fornita da Microsoft Office Word. Quindi il nome del documento è visibile! E non so se dovrei o meno fidarmi di questo metodo di crittografia da Word.
  • Criptalo con WINRAR. Posso crittografare anche il nome del documento, quindi all'apertura, dovrebbe essere richiesto di fornire la password e quindi anche il nome del documento è crittografato.
  • Crea un file PDF e crittografalo utilizzando PDF. Simile a Word forse un po 'più potente / o meno ??

Ovviamente alcuni direbbero di usare una combinazione, ma non voglio sembrare paranoico ai miei clienti;)

    
posta Phoenician-Eagle 24.11.2010 - 16:45
fonte

11 risposte

15

Supponi che il documento debba essere inviato via email. Sembra che tu stia proteggendo solo contro l'intercettazione mentre l'email viene inviata (smtp). In tal caso, è necessario solo un trasporto sicuro e non necessariamente una crittografia gestita dall'utente finale.

Non riesci a far scaricare loro il documento da un server web che controlli su SSL? Devi comunque fornire loro l'URL e la password in qualche modo, ma almeno puoi rimuovere il documento dal server web. Avranno comunque una versione in chiaro del documento, quindi non importa se la tenete in chiaro sul server web, ma dietro una password. Puoi controllare l'accesso e trascinarlo dopo averlo ricevuto.

    
risposta data 29.11.2010 - 07:53
fonte
9

Per quanto riguarda la sicurezza di MS Office, non utilizzare Office 2003. La lunghezza della chiave è limitata a 40 bit, che è ancora un po 'di lavoro ma tecnicamente può essere forzata bruta.

Ho esaminato la crittografia dei file di Office 2007 e sembra opportuno. È difficile determinare con certezza perché, per quanto ne so, le specifiche non sono pubblicamente disponibili (se qualcuno lo sa diversamente, mi piacerebbe guardarlo) ma c'è qualche documentazione.

Le lunghezze chiave e le scelte di cifratura sono appropriate. I file Word 2007 (.docx) ora sono basati su XML. La crittografia dei file lascia alcune informazioni di intestazione disponibili (l'utente saprà che è un file .docx e il nome del file), così come un'impronta digitale del file (in modo che se la chiave è inserita in modo errato, ha qualcosa in comune con) , ma il contenuto del file stesso è altrimenti crittografato.

Come accennato, la creazione di un SDA (Self-Decrypting Archive) con PGP sembra soddisfare perfettamente i tuoi criteri, ma credo che sia disponibile solo con PGP (il $$$) e non con GPG (quello gratuito). Se hai un PGP effettivo, andrei su quella strada. In caso contrario, la crittografia dei file con Word sembra sicura.

    
risposta data 25.11.2010 - 01:45
fonte
7

Ahh - un problema così lungo e intricato:)

Molto dipende dal tuo "modello di minaccia" - di chi e di cosa sei preoccupato e di chi si fida. Sembra che tu non stia cercando la crittografia dopo aver ottenuto il documento, mentre è in transito. Come ho notato nel mio commento sopra, penserei che ti interesserebbe la privacy dei tuoi messaggi e la privacy del nome del documento e del documento stesso durante il transito.

Una cosa su cui probabilmente puoi contare è il supporto ragionevole per TLS nei tuoi browser. Quindi, se esiste un provider di servizi Web sicuro che utilizza sempre https di cui entrambi si fida, funzionerebbe. Ma potresti non volerti fidare, ad esempio, di un ISP o di un fornitore di telefonia mobile controllati dallo stato in un paese oppressivo. Guarda i combattimenti di Blackberry con gli Emirati Arabi Uniti, per esempio.

es. se entrambi avete gmail e accedete sempre con https, potrebbe funzionare. È possibile accedere a Google Documenti anche con https. Ovviamente non ci si può fidare di Google, ma ci sono molti altri là fuori (ad esempio fastmail.fm) di cui ci si può fidare.

Se utilizzi entrambi un protocollo peer-to-peer sicuro o uno schema di messaggistica istantanea o una piattaforma di telefonia mobile, potrebbe essere più sicuro della posta elettronica.

    
risposta data 24.11.2010 - 19:15
fonte
7

Questo è un problema perenne e ho visto alcune soluzioni ad esso.

Un paio di considerazioni

È uno scambio una tantum o regolare?

se si tratta di uno scambio unico, una password / passphrase comunicata attraverso un meccanismo fuori banda (ad esempio, un messaggio di testo SMS, verbalmente per telefono, di persona) dovrebbe essere sufficiente.

Se si tratta di un trasferimento regolare, allora potrebbe non essere praticabile, quindi un'opzione a quel punto sarebbe quella di avere un elenco preimpostato di password (di nuovo comunicate fuori banda) e analizzarlo a intervalli predeterminati.

Dal punto di portare il documento all'altra persona, è in gran parte determinato dal software che hanno installato e dal blocco / filtraggio sul trasporto utilizzato per effettuare il trasferimento.

Gli archivi Self-Decrypting possono funzionare, ma alcuni sistemi di posta elettronica bloccheranno il contenuto eseguibile negli allegati (rinominare il file può aiutare qui se il sistema funziona esclusivamente sull'estensione del file)

Documenti di ufficio MS crittografati, se è una versione moderna e le opzioni di crittografia selezionate sono buone, funzionano abbastanza bene. Come accennato, ci può essere un po 'un problema di percezione in quanto le versioni precedenti di Office avevano una crittografia debole, ma non sono a conoscenza del fatto che si tratta di un problema con versioni datate (usano Microsoft CryptoAPI con crittografia strong disponibile)

Archivi ZIP crittografati, anche se sono versioni aggiornate del software (la crittografia zip precedente non era molto potente).

    
risposta data 25.11.2010 - 13:56
fonte
4

Se hai già la versione commerciale di PGP, puoi creare un SDA (archivi auto-decrittografanti):

"Another way to put files and folders into a single encrypted and compressed package. An SDA is slightly larger in size than a PGP Zip archive because the executable file is included in the archive, but this means that the SDA can be opened on Windows systems that don't have PGP Desktop installed. SDAs can only be protected by passphrases, so you have to find a secure way to communicate the passphrase of the SDA to the intended recipient."

Altre opzioni:
dropsend.com link (livello aziendale per aggiungere sicurezza)
winzip w / encryption è popolare link

    
risposta data 24.11.2010 - 17:28
fonte
2

Se si tratta di un documento word, prendi in considerazione il server Microsoft Rights Management

link

.. è incorporato in MS Word 2003 e versioni successive.

    
risposta data 24.11.2010 - 18:00
fonte
1

La scelta del nome file non deve riflettere il contenuto effettivo. Un file Word chiamato "Untitled 1.doc" è ancora un file Word e il titolo nella pagina 1 del documento può fornire le informazioni reali.

Per estendere il tuo elenco di opzioni, le nuove versioni di zip (scusa, non conosco la versione del formato, è qualsiasi cosa supporti WinZip 9) offrono la crittografia AES.

    
risposta data 24.11.2010 - 17:28
fonte
1

Penso che S / MIME sia davvero fantastico, ma sicuramente WinZip con crittografia (inviare la passphrase al telefono o SMS / messaggi di testo) funzionerà in un pizzico.

    
risposta data 25.11.2010 - 00:35
fonte
1

Per situazioni come questa uso AxCrypt. Questo ci consente di crittografare l'allegato senza preoccuparci della versione di Office e, se lo desideri, creare un file autoestraente. Ricorda che molti programmi di posta elettronica rimuoveranno gli eseguibili, quindi potresti doverli risolvere.

    
risposta data 28.11.2010 - 22:06
fonte
1

Potresti prendere in considerazione l'impostazione di account hushmail e la generazione di passphrase sicuri per quegli utenti e dare loro le passphrase in un modo sicuro. (Ma vedi la nota di Hushmail su di loro conforme alle leggi vigenti - link )

Questo fornirebbe il contenuto a loro, ma non lo proteggerebbe una volta sul loro computer. Ma poi, gli utenti poco esperti probabilmente avrebbero comunque il contenuto non protetto.

A seconda dell'importanza dei documenti e delle risorse dell'attaccante, c'è un software per potenziare la maggior parte della crittografia offerta dal software. (vedi le offerte di Elcomsoft, ad esempio, che ti permettono di usare cluster GPU e attacchi di dizionari e pure bruteforce)

Non dimenticare che crypto è difficile, e molti dei software che hai citato hanno già implementato la crittografia danneggiata nelle versioni precedenti.

link

The Zip 2.0 (Legacy) encryption format is supported by most, if not all, other Zip file utilities. Password protecting a Zip file with Zip 2.0 encryption provides a measure of protection against a casual user who does not have the password and is trying to determine the contents of the files. However, the Zip 2.0 encryption format is known to be relatively weak, and cannot be expected to provide protection from individuals with access to specialized password recovery tools.

Do not rely on Zip 2.0 encryption to provide strong data security.

    
risposta data 05.08.2011 - 13:09
fonte
0

Posso credere che nessuno abbia suggerito di stampare il nostro documento e inviarlo tramite corriere espresso! A meno che il cliente non abbia urgentemente bisogno delle informazioni, e non sembra che questo non sia il caso, la consegna durante la notte / il giorno successivo dovrebbe essere sufficiente. Un'altra opzione è quella di utilizzare un fax sicuro, che è comune negli uffici medici e nei dipartimenti delle risorse umane, anche se non a molte persone hanno quelle a portata di mano.

    
risposta data 15.10.2011 - 02:12
fonte

Leggi altre domande sui tag