C'è qualche vantaggio in termini di sicurezza nel non utilizzare i servizi di posta elettronica recentemente associati a PRISM?

Fughe e prove più recenti suggeriscono che gli stessi provider di posta elettronica, di norma, non cooperano con la NSA. Piuttosto le compagnie di telecomunicazioni come AT & T sono. La NSA all'ingrosso cattura e analizza tutto il traffico a monte di aziende come Google e Yahoo, e attraverso questo ottiene accesso implicito a tutto ciò che non è crittografato. Quindi il dettaglio critico è questo: Quali aziende crittografano il loro traffico?

Ho fatto alcuni test, ed ecco cosa mi è venuto in mente:

Disponibilità della crittografia e-mail

Forced:         +++   
On by default:  ++  
Off by default: +  
Not available:  -  
Outbound Only:  +*

                  Gmail     Microsoft   Yahoo      AOL
Web Interface     +++       +++         +          -
POP3/IMAP         +++       +++         ++         ++
SMTP              ++        -           +*         +*

Quindi Gmail esegue la crittografia ovunque sia possibile e non ti consente nemmeno di connetterti in modo non criptato se stai recuperando la tua email.

Microsoft (Live / Hotmail / Outlook.com, ecc.) Forza di crittografare per recuperare la posta, ma non supporta STARTTLS sulla porta 25, né in entrata né in uscita, quindi tutta la posta da e verso di essi non è crittografata .

Yahoo supporta SSL su tutta la linea, ma è disattivato per impostazione predefinita sull'interfaccia web.

AOL non supporta nemmeno SSL sulla loro interfaccia web, ma lo supporta sul back-end.

Non esiste uno stato "predefinito" on / off per SSL su POP3 / IMAP, quindi ho dato a tutti il beneficio del dubbio.

Probabilmente il più interessante: GMail crittograferà tutto se lo permetti, incluso server-to-server. Microsoft non cripterà server-to-server, mentre Yahoo e AOL fanno entrambi qualcosa di strano: entrambi crittografano l'e-mail in uscita da server a server, ma non supportano STARTTLS su email in entrata . Quindi la posta in uscita da Yahoo o AOL verrà crittografata se la destinazione la supporta (ad esempio Gmail), ma la posta che va da a Yahoo o AOL non può essere crittografata.

Ma per quanto riguarda la crittografia server-to-server, c'è un problema: le connessioni non crittografate sono sempre supportate, il che rende banale un attacco man-in-the-middle. Semplicemente MITM la connessione su PORT 25 e filtra la linea in cui il server di destinazione annuncia la disponibilità di STARTTLS. Inoltre, poiché la validità del certificato viene raramente verificata dai server di posta, puoi anche MITM la sessione TLS con un certificato autofirmato.

Caveat Emailor
Ricorda che l'email è intrinsecamente insicura nel suo stesso design. L'utilizzo del servizio di posta elettronica del proprio ISP o la creazione di una propria potrebbero non essere migliori. Ricorda che sono i dorsali della rete che vengono intercettati, non i provider di servizi di posta. Quindi siamo tutti ugualmente vulnerabili. Usa S / MIME o PGP / GPG se hai bisogno di sicurezza della posta elettronica.

È possibile monitorare quasi tutti i metodi di comunicazione via Internet. Non è questo il problema. Il problema è, perché non crittografare i messaggi.

L'invio tramite e-mail è come scrivere le cartoline, peggio che scrivere una lettera, quest'ultima con almeno una busta. Ma puoi usare la crittografia, piuttosto che scrivere semplici lettere in Email. PGP è uno di questi software che consente di crittografare le e-mail o di pubblicare messaggi in Internet pubblicamente. La crittografia viene eseguita sul tuo computer e decrittata nel computer del tuo amico, che è sicuro a meno che il tuo computer o il tuo amico non siano monitorati dalle agenzie (software malizioso da agenzie installate, CPU con circuiti segreti che segnalano, ecc.). Fortunatamente cifre come AES e RSA sono finora abbastanza sicure, anche per la NSA.

Personalmente ritengo che nessun mezzo di comunicazione non sia monitorato. Ma la crittografia aiuta a comunicare in modo sicuro tramite metodi di comunicazione non sicuri.

Potrebbe fornire una certa protezione, ma senza sapere specificamente cosa si sta cercando di ottenere in termini di "sicurezza", è difficile dirlo.

Come altri hanno già detto, è possibile crittografare tutti i messaggi in modo che non possano essere letti mentre passano attraverso il filo. Ovviamente, ciò significa che le persone a cui stai scrivendo e-mail hanno bisogno di un modo per decrittografare tutto ciò che stai scrivendo, e puoi immaginare come sarebbe noioso e poco praticabile a meno che non invii solo email a più persone. Questo ha il vantaggio di far sì che anche se qualcun altro fosse in grado di vedere le tue e-mail, sarebbe improbabile che possano leggerle.

L'altra soluzione che hai pubblicato, che ospita un server di posta elettronica, sarebbe in parte utile, perché alla fine invierai email a altre persone e presumibilmente non invierai solo email a persone che utilizzano il tuo server di posta elettronica. Lo stesso si può dire per i provider di posta locali.

Tuttavia, quando si tratta davvero di una cosa, quando si pensa alla sicurezza è necessario pensare alle risorse, sia monetarie che temporali, dell'avversario. Ora, se ti rendi conto che il governo ha essenzialmente risorse infinite (possono EFFETTIVAMENTE stampare denaro!) Non c'è nulla che tu possa davvero fare per impedirgli di spiarti se lo volessero davvero.

Certo, puoi prendere delle misure per far sì che usino più risorse, ma d'altra parte, fare cose per proteggere la tua privacy li rende presumibilmente più interessati a sapere cosa stai facendo, potenzialmente dando loro più diritti legali per spiarti da ciò che ho letto. Alla fine, proprio non lo sforzo ne vale la pena.

Dipende dalla tua giurisdizione e dalla tua attività.

IANAL, ma come professionista della sicurezza, ecco la mia comprensione:

PRISM è legale perché non viene applicato ai cittadini / residenti statunitensi ( link ). Se vivi e lavori negli Stati Uniti e fai affari negli Stati Uniti, allora tu ei tuoi contatti siete protetti e protetti dalla legge degli Stati Uniti. Perfettamente ok per usare i servizi. Le forze dell'ordine potrebbero sempre emettere warrant e lo sapevi sempre.

Se vivi e lavori al di fuori degli Stati Uniti, la legge degli Stati Uniti non ti protegge. Sei un non cittadino, non residente che ha esportato i suoi dati in terra straniera. I dati possono essere utilizzati contro di te, i tuoi amici e familiari arbitrariamente e indefinitamente con tutti i rapporti con gli Stati Uniti.

Precedenti di questo tipo di comportamento di intelligence governativa possono essere visti in Iran dove le persone sono state arrestate per le azioni dei loro familiari su Facebook (ad esempio, link ) o in Cina, dove i resoconti dei dissidenti di Gmail sono stati evesdropped e probabilmente hanno portato alla loro esecuzione link

Mi sono trasferito a un servizio di scambio nazionale (non statunitense) per l'agenda e l'e-mail aziendale dopo PRISM. Se gli Stati Uniti desiderano i miei dati, devono utilizzare i loro trattati di applicazione della legge per costringere il mio ISP a rilasciare i dati.

Suggerisco che le aziende che trattano informazioni sensibili di interesse per gli Stati Uniti ospitano le loro informazioni al di fuori degli Stati Uniti (ad esempio, ambasciate, medici, appaltatori governativi, avvocati coinvolti in casi federali statunitensi, ecc.) .

La principale differenza che posso vedere è che dà un'idea migliore di ciò che si fa effettivamente con le e-mail che risiedono con il fornitore di servizi. Possono sapere se hai immediatamente eliminato il messaggio o se lo hai letto e spostato nella cartella "Come conquistare il mondo".

Per quanto riguarda la visualizzazione dei messaggi sul server, è corretto che non faccia alcuna differenza e che la crittografia mantenga i contenuti protetti in ogni caso. L'unica cosa che stai rinunciando è quali informazioni sono disponibili su ciò che fai dopo aver raggiunto il server del tuo provider di posta elettronica.