Un'alternativa sicura all'e-mail

Naviga le tue risposte
4

Dopo aver annunciato che la NSA conduce estesi metadati e ricerche sul traffico via e-mail, è chiaro che le persone che cercano privacy e sicurezza preferirebbero abbandonare completamente il sistema, poiché, per progettazione, questo tipo di spionaggio non può essere evitato.

Tuttavia, non conosco alcun sistema inteso a sostituire l'e-mail nel suo complesso con un protocollo sicuro e privato verificabile. Esistono sistemi di messaggistica istantanea e social network che cercano di essere sicuri in base alla progettazione, ma io per quanto ne so non esiste alcun protocollo destinato a sostituire la posta elettronica nella comunicazione quotidiana. Il PGP sopra la tradizionale posta SMTP viene suggerito come alternativa, ma non è immune all'analisi del traffico.

Quindi, la domanda è: qualcuno ha progettato un protocollo sicuro per sostituire la posta elettronica con funzionalità simili? C'è un progetto dal vivo che posso iniziare a utilizzare e supportare?

    
posta Federico Poloni 10.08.2013 - 18:54
fonte

8 risposte

3

Se guardi o leggi le vecchie tattiche di spionaggio, loro passerebbero messaggi in lattine sotto una panchina del parco o farebbero cose che non potrebbero essere trovate facilmente. Da un problema di analisi del traffico e raccolta di meta-dati, la crittografia dei messaggi non ha importanza poiché l'analisi è dei segnali non del contenuto. L'analisi Segnali può guardare a cose come tra due parti, frequenza, ecc.

Una possibilità potrebbe essere l'utilizzo di un'infrastruttura tipo TOR, dove il traffico è difficile da decifrare senza il controllo di molti nodi, anche se le notizie recenti hanno dimostrato che TOR non è un modo completo per ottenere l'anonimato e può essere compromesso .

Esistono anche sistemi anonimi BBS e BBS. Pubblichi il messaggio crittografato e poi qualcun altro deve sapere dove andare per trovarlo e decifrarlo. Se carichi e scarichi molto, è difficile stabilire le connessioni tra gli individui, rendendo difficile l'analisi del traffico.

Concentrandosi sulla parte di meta-dati o analisi dei segnali, puoi sempre considerare l'aggiunta di rumore, come ad esempio il Chaffing e Sistema di vagliatura proposto da Ronald Rivest. Puoi anche provare a comunicare attraverso canali nascosti, messaggi divisi, ecc. Puoi spostarti tra vari forum ogni pochi giorni, anche se sono fuori tema (e quindi meno probabilità di essere presi di mira in una ricerca). Potresti comunicare nei commenti di siti web casuali e avere un modo per dire al tuo ricevitore come trovare i commenti. Potresti anche implementare la stenografia e pubblicare cose in luoghi molto pubblici.

In generale, renderlo facile e sicuro sarebbe una vera sfida. Se tutto il traffico può essere monitorato a livello di filo, l'analisi del traffico è sempre possibile senza rumori sufficienti o spostandosi fisicamente tra le reti (recarsi in un nuovo bar ogni pochi minuti).

Se non sei preoccupato per i metadati e i segnali, ma vuoi la privacy, qualsiasi tipo di crittografia in cui il fornitore di servizi non dispone delle chiavi funzionerà. Ekiga e altri strumenti forniscono crittografia e sono relativamente facili da usare. Anche al di fuori della sicurezza, ci sono sempre argomenti per sostituire la posta elettronica, è un problema di quali caratteristiche sono necessarie per le masse e come ottenerle alla transizione. Internet è pieno di legacy hold backs che impiegano molto tempo per essere rimpiazzati (anche la navigazione nel WWW ha molte limitazioni e svantaggi).

- Modifica -

L'ho visto oggi su HN: Condividi sicura . Alcuni dei loro punti:

We employ GNUnet for peer-to-peer routing and encryption (the new openssl of P2P) and PSYC to create the social trust graph (because it performs a dozen times better than XMPP or OStatus).

communication between parties cannot be measured as they may have none to several routing hops in-between. an observer never knows if a communication came where it came from and ends where it is going to.

Potrebbe essere qualcosa di utile, se potessi convincere la gente a lasciare il browser web.

    
risposta data 10.08.2013 - 21:29
fonte
1

Potrebbe essere MUCH più semplice implementare l'e-mail (sicura) via e-mail (non sicura).

  • PGP può fornire all'utente finale la crittografia dell'utente finale
  • Gli indirizzi di inoltro personalizzati ([email protected]) possono fornire un modo per proteggere dall'analisi "RCPT TO" (anche tramite connessioni crittografate) e l'analisi della dimensione dei messaggi (aggiunta di posta indesiderata, ritardi di trasmissione casuali, messaggi di batching). per esempio. [email protected] - > [email protected] - > [email protected] - > [email protected]
risposta data 10.08.2013 - 23:23
fonte
0

L'e-mail è una sorta di protocollo di comunicazione, e non c'è niente di sbagliato in questo (almeno non dal punto di vista di cui si sta scrivendo). Il problema è che non esiste uno standard di fatto per la crittografia, sebbene esistano alcune soluzioni come S / MIME o PGP, ma sono troppo complesse per un utente medio.

La parte più importante di questo gioco sono gli utenti che dovrebbero avere un certo livello di comprensione dell'infrastruttura di posta elettronica e della crittografia per poter comunicare in modo sicuro. Per risolvere questo problema dovremmo sviluppare soluzioni user-friendly con crittografia end-to-end. Un'iniziativa promettente è il progetto MailPile:

link

Ma tieni presente che anche se crittografiamo tutte le nostre e-mail (o altre comunicazioni) con cripto strong sulle nostre apparecchiature e usiamo tecniche per anonimizzare il nostro traffico, il governo avrà comunque la possibilità di hackerare le nostre workstation proprio come noi visto nel caso di Tor .

Dato che hai chiesto informazioni sulla comunicazione di tutti i giorni non penso che avremo mai un sistema che nasconde i metadati del traffico semplicemente perché la stragrande maggioranza degli utenti non se ne preoccupa: ad esempio il fatto che io comunicare con i miei amici e partner commerciali in determinati momenti contiene solo molte informazioni che ho già condiviso volentieri sui social media.

Tuttavia, OPSEC e tecnologie di anonimizzazione come mixer (che può essere applicato come estensione all'infrastruttura di posta elettronica esistente) può migliorare la situazione. Tor può anche essere utilizzato come livello sottostante per la posta elettronica (+ protocolli TLS e PGP o S / MIME).

PS .: in realtà, Google Wave mi è venuto in mente come supposta alternativa e-mail che avrebbe funzionato su server privati che utilizzano HTTPS, ma non penso che avrà un impatto molto ...

    
risposta data 10.08.2013 - 21:03
fonte
0

C'è una soluzione chiamata valeso.com che è super-sicura, con impostazioni individuali come "distruggere dopo aver letto", ecc. Viene fornito con un client di posta elettronica piuttosto carino e soddisferà la maggior parte se non tutte le -mail ha bisogno di uno potrebbe avere. Il lato negativo di valeso.com è che il server è negli Stati Uniti, il paese con un interruttore on / off per i diritti civili. Se non stai usando la crittografia per preparare / commettere un crimine, non hai nulla di cui preoccuparti, purché il resto del sistema legale negli Stati Uniti rimanga funzionale.

Credo, tuttavia, che le preoccupazioni per la privacy della maggior parte delle persone siano semplicemente, che non vorrebbero inviare posta bancaria, avvocato, lettere d'amore o altri segreti personali come cartoline, in modo che ogni postino possa leggerlo. Credo che GNUPG.org abbia nel frattempo semplificato la crittografia pgp al livello, che quasi tutti possono gestire. Per iPhone c'è secumail, può gestire i messaggi PGP. PGP dovrebbe diventare una funzionalità predefinita di tutti i client di posta elettronica.

Il lato negativo a tutti e qualsiasi crittografia è, se il tuo smartphone o pad non è in grado di gestire e mostrerà un sacco di e-mail come parole senza senso crittografate.

    
risposta data 11.08.2013 - 13:33
fonte
0

Bitmessage sarebbe una buona soluzione in quanto non perde i metadati. Ovviamente le persone che invii email dovrebbero usare Bitmessage.

    
risposta data 10.09.2013 - 23:06
fonte
0

Molto dipende dalla frequenza e dal volume delle comunicazioni. Se volessi passare alcuni messaggi discreti, pubblicherei un annuncio su Craigslist.

    
risposta data 12.01.2014 - 06:21
fonte
-1

Puoi utilizzare Openpgp ma se non sei un esperto ti suggerisco Mail1Click .

Mail1Click è un famoso provider di posta elettronica sicuro, che utilizza l'algoritmo tls e RSA Asymmetric. I loro server non sono negli USA, la società è originaria degli Emirati Arabi e hanno un'interfaccia web o l'app (Windows, Android, ecc.).

    
risposta data 10.09.2013 - 14:30
fonte
-1

IPV6 contiene la risposta per "scritture dirette da finestra B a B" rispetto a tutto ciò che è coinvolto e "a rischio" all'interno dello stack IPv4 IP / DNS / protocollo corrente .. è il meccanismo del trasporto e-mail stesso che è il problema !! Abbiamo bisogno di un cambio di paradigma nella cognizione per eliminare completamente E-mail e fuori dalla trappola ciclica del trasporto in scena ... al contrario di scriverlo direttamente sulla destinazione. Basta fermarsi a pensare per un momento a quanto semplice e ovvia quell'alternativa sia realmente data la complicazione che attualmente soffriamo a causa del sistema come lo è adesso ... La maggior parte dei moderni dispositivi di comunicazione è in grado di proteggere i finestrini, solo allora può trasportare le vulnerabilità vengono aggirate ... quindi se mi wana mi metti in crisi; poi dovrai hackerare il mio dispositivo e qualsiasi protezione io abbia messo in atto, quindi ora fermati e ripensaci al decentramento della messaggistica e alle sue conseguenze ... Steveo Reedo [email protected]

    
risposta data 11.01.2014 - 18:50
fonte

Leggi altre domande sui tag

CSRF e Flash / Flex Accesso alle sequenze di tasti dirette su iframe?