Il protocollo Axolotl Ratchet sarebbe adatto per crittografare le comunicazioni e-mail?

8

Axolotl Ratchet viene utilizzato dal messenger Signal (precedentemente noto come TextSecure) e da una versione avanzata di OTR in modo da renderlo adatto per le applicazioni mobili, che ha la probabilità di crittografare i messaggi senza che entrambe le parti debbano essere online allo stesso tempo come descritto qui . Lo scambio di chiavi avviene in modo asincrono .
Signal risolve anche un paio di altri problemi, come la decrittazione fuori ordine e la prevenzione della divulgazione dei metadati attraverso i cleartext.

Questo mi sembra perfetto come rimpiazzo per PGP, a cui manca la segretezza in avanti ( PFS) e alcuni altri problemi .

Quali problemi dovrebbero essere pensati durante la creazione di un plugin per client di posta (come Enigmail per Thunderbird) che utilizza axolotl crittografia anziché PGP?

    
posta rubo77 05.03.2015 - 09:49
fonte

3 risposte

6

Neat idea, buona domanda, ma ci sono un paio di problemi che rendono axolotl non una buona soluzione drop-in per client e / o server e-mail esistenti:

1) La parte asincrona di TextSecure richiede l'aiuto del server che i server di posta elettronica non forniscono. Nello specifico, i server TextSecure / Signal distribuiscono le chiavi pubbliche effimere per gli utenti offline. I server di posta elettronica no.

2) I client Axolotl sono necessariamente stateful, tenendo traccia del cricchetto chiave per ogni conversazione. È (ancora una volta) semplicemente non una funzione che i client di posta elettronica sono costruiti per fornire, e rende difficile avere più di un client di posta elettronica, poiché richiede la sincronizzazione di quello stato tra i propri client di posta elettronica. Per esempio. il tuo client di posta elettronica desktop deve ricevere tutte le chiavi generate dal tuo client di posta elettronica per smartphone.

Potrebbe, tuttavia, essere una buona sostituzione della posta elettronica. Se vuoi lavorare su questo problema, controlla il client web in sviluppo per TextSecure o Pond. Textsecure / Signal richiede un client desktop e Pond necessita di un client mobile.

Sebbene il cricchetto axolotl sia brillante e offra grandi proprietà di sicurezza, c'è un argomento da sostenere che la sicurezza garantisce che axolotl non valga la pena di problemi di manutenzione dello stato per molti casi d'uso.

    
risposta data 17.03.2015 - 20:52
fonte
1

Raccomando Pond per la messaggistica asincrona, ala email, che deve essere crittografata end-to-end. Pond utilizza il cricchetto axolotl per la segretezza in avanti, ma Pond fornisce anche una certa protezione dall'analisi del traffico.

È imho la pena di nascondere la quantità, i metadati, ecc. dei messaggi cifrati che invii. Qualsiasi sistema di posta elettronica espone i tuoi metadati all'analisi del traffico. Suggerirei di usare GnuPG per messaggi singoli o corrispondenze poco frequenti con persone che non usano Pond, ma convincere le normali corrispondenze a usare Pond.

Un progetto interessante potrebbe essere un client di posta elettronica che tenta di stabilire automaticamente una connessione Pond.

    
risposta data 22.03.2015 - 19:36
fonte
0

Non sono sicuro che l'idea di usare axolotl per la posta elettronica sia valida o meno, ma vale la pena provare. Il mio team Tradle ha scelto di creare un'alternativa alle email come suggerito da @geargewalker. Tuttavia, ecco alcuni suggerimenti per te:

  1. Il primo problema menzionato da @georgewalker è risolvibile. PGP ha avevano sempre server con chiave pubblica, ma erano troppo goffi per essere usati. Una parte del nostro messenger, che chiamiamo Trust In Motion (TiM) - anteprima è sul nostro sito web, è quello di utilizzare il blockchain come server chiave. Posso fornire tutto l'aiuto di cui hai bisogno usa la nostra soluzione per le chiavi pubbliche on-chain per la tua idea di plug-in e-mail. TiM è open source e presto sta entrando in una beta privata, quindi puoi iniziare a utilizzare il codice.
  2. Non vedo un problema immediato nel mantenere lo stato nel client di posta elettronica, per thread di conversazione, a parte l'ovvio - l'altro client di posta elettronica deve supportare Axolotl. Lo stesso protocollo Axolotl ha implementazioni JS di terze parti alternative .

Buona fortuna.

    
risposta data 27.06.2015 - 23:40
fonte

Leggi altre domande sui tag