HOWTO: crittografia della posta elettronica in un browser

5

Ho letto della crittografia e penso che sia una buona idea per me criptare la mia email. Corro ubuntu 12.10 e utilizzo Firefox per la navigazione.

Nella mia ricerca per imparare come usare gmail / hotmail per inviare e ricevere e-mail crittografate, un paio di tutorial precedenti indicano firegpg un addon per Firefox, ma la home page dei progetti dice che non è più in fase di sviluppo attivo.

Ho anche letto che la crittografia all'interno del browser è anche pericolosa dato che il javascript in esecuzione sulla pagina può trasmettere i dati non crittografati, quindi è meglio avere un programma separato che faccia questo lavoro.

C'è un howto o guida abbastanza recente disponibile su Internet che ha tutti i dettagli in modo che anche un principiante come me può seguire. Se così fosse sarebbe bello se qualcuno potesse indicarmi altrimenti se qualcuno potesse spiegare come funziona il loro flusso di lavoro di crittografia della posta elettronica.

Non ho alcun problema a comporre la mia e-mail in un editor di testo, quindi a crittografarli e a inviare quel testo nel corpo della posta, ma non capisco appieno come gestirò tutte le chiavi pubbliche dei miei contatti. C'è qualche programma che fa questo?

Non sono alla ricerca di client di posta come thunderbird, voglio usare un browser web per email funziona molto meglio nella mia esperienza.

    
posta nikhil 03.12.2012 - 18:59
fonte

5 risposte

5

L'email è solitamente / storicamente crittografata utilizzando PGP o GPG . Ci sono PGP e GPG addons per i browser più comuni;

Dovrai generare una coppia di chiavi per te stesso e seguire le procedure basilari di gestione delle chiavi. Questo è tutto abbastanza prolisso per inserire una risposta qui, ma ci sono alcune GUI disponibili che semplificano il processo, come GPG4Win .

Il principale avvertimento con tutto questo è che dovrai convincere i tuoi amici a partecipare. Devono decidere di inviarti e-mail crittografate, e allo stesso modo devono impostare loro stessi una coppia di chiavi per poter inviare loro e-mail crittografate.

Questa mancanza di un sottosistema ubiquitario di web of trust è il motivo per cui la crittografia delle e-mail è ancora molto sottosviluppata. Il PKI ampiamente utilizzato non si presta molto bene alla posta elettronica, in quanto non ha flessibilità ed è proibitivamente costoso.

L'e-mail al suo interno è solo un trasferimento di testo non elaborato. Ciò non cambia quando inizi a crittografare le cose. In genere il corpo del messaggio viene crittografato utilizzando la chiave pubblica del destinatario. Questo messaggio crittografato è formattato in caratteri stampabili (di solito con codifica base64), questa fase garantisce che il blocco crittografato, che potrebbe contenere strane e meravigliose sequenze di bit che mappano caratteri strani e non stampabili, venga trasferito in modo sicuro codificandolo in caratteri semplici ( base64 usa l'alfabeto, i numeri e alcuni simboli comuni).

I componenti aggiuntivi del browser sono in grado di identificare questo blocco crittografato all'interno della pagina Web e consentono di decrittografarlo, che lo restituisce in un formato di testo semplice.

    
risposta data 03.12.2012 - 19:07
fonte
3

Un'altra alternativa è utilizzare la crittografia basata sul portale, in cui le chiavi pubbliche sono mantenute in un repository centrale e un server web ospita le chiavi pubbliche.

Esempi:

1) Zixmail

2) Email sicura di Proofpoint

Ognuno di questi prodotti agisce come un relay SMTP di sorta e ti consente di inviare messaggi da qualsiasi sistema.

Per il sistema Proofpoint riceveranno un collegamento ipertestuale nel messaggio di posta elettronica per accedere. Una volta effettuato l'accesso, una coppia di chiavi viene generata solo per quell'utente e possono rispondere in modo sicuro (tuttavia l'amministratore di sistema ha definito "sicuro")

Il sistema Zix agirà in modo simile al sistema Proofpoint, tuttavia se il sistema peer utilizza anche Zix, i messaggi saranno protetti in modo trasparente (come TLS tra MTA).

    
risposta data 03.12.2012 - 19:10
fonte
3

Affrontando la tua preoccupazione riguardo a JavaScript che ruba le informazioni prima della crittografia, mi aspetterei che la maggior parte dei plugin del browser possa aggirare il problema inserendo il testo per essere crittografato al di fuori della pagina DOM stessa e impedendo così a JavaScript dannoso di accedere facilmente .

    
risposta data 03.12.2012 - 22:54
fonte
2

Hushmail è OpenSource e ha già risolto questo problema.

    
risposta data 03.12.2012 - 20:10
fonte
1

Esistono strumenti che utilizzano OpenPGP.js per crittografare i dati sul tuo browser. Ad esempio, Mailvelope è uno di questi.

    
risposta data 18.03.2014 - 11:34
fonte

Leggi altre domande sui tag