La crittografia end-to-end ha applicazioni / casi d'uso al di fuori della messaggistica / e-mail?

Naviga le tue risposte
3

Stavo leggendo la crittografia end-to-end e ho trovato principalmente applicazioni in messaggistica (Whatsapp, Telegram ecc.) e bene, email (PGP (sorta di?)).

Sono curioso di sapere se ci sono applicazioni per la crittografia End to End oltre a queste. Dimmi, comunicazione tra due processi in un sistema distribuito? Non sono sicuro se abbiano davvero bisogno della crittografia end-to-end.

    
posta Limit 28.02.2018 - 05:56
fonte

3 risposte

3

Penso che la semplice richiesta di casi di utilizzo della crittografia end-to-end sia una domanda molto ampia. Ma in generale: ogni volta che due parti scambiano informazioni sensibili che devono essere protette contro lo sniffing (e probabilmente anche la modifica) da parte di una crittografia end-to-end di terze parti ha senso. Ciò include, ad esempio, la messaggistica diretta, la comunicazione e-mail, la protezione delle password inserite nei siti Web, la protezione del banking online, la telefonia, l'accesso a un desktop remoto, la gestione di un dispositivo remoto nel contesto dell'IoT e molti altri ancora.

Dovresti anche notare cosa non offre la crittografia end-to-end . Mentre (quasi?) Tutte le implementazioni di crittografia end-to-end proteggono il messaggio da modifiche, spesso non forniscono la certezza che il mittente è quello richiesto o che nessun messaggio viene perso o che i messaggi sono stati riprodotti. Ma questi sono spesso requisiti che hai in scenari end-to-end e che poi devono essere forniti da tecniche aggiuntive, come le firme crittografiche oi contatori di messaggi.

E poi ci sono casi in cui la crittografia end-to-end non fornisce la protezione che si potrebbe sperare. Ad esempio, se si dispone di due processi sulla stessa macchina e di proprietà dello stesso utente, la crittografia end-to-end probabilmente non ha molto senso. Non protegge da un utente con privilegi identici o superiori poiché questo utente può eseguire il ptrace delle applicazioni per estrarre da lì i dati non crittografati. Per questo scenario una comunicazione che utilizza socket di dominio UNIX (adeguatamente protetti) o l'uso di socketpair o pipe offre la stessa protezione ma senza il sovraccarico della crittografia.

    
risposta data 28.02.2018 - 08:19
fonte
3

Alcuni esempi di crittografia end-to-end che non sono messaggistica:

  1. Gestione password basata su cloud in cui tutta la crittografia si trova sul lato client e il server è progettato per essere una parte non attendibile

  2. Archiviazione / sincronizzazione di file cloud / backup in cui tutta la crittografia viene eseguita sul lato client e il server è progettato per essere una parte non attendibile

  3. Un server di comando e controllo ospitato nel seminterrato dell'hacker in esecuzione come servizio nascosto di Tor

risposta data 28.02.2018 - 10:06
fonte
0
  • Sì, PGP è solitamente e2e.
  • Il cloud storage sta uscendo con e2e, vedi Nextcloud.
  • A volte i backup vengono eseguiti e2e.
  • I siti web, come detto sopra, sembrano come se fossero e2e dal server al client, quindi non possono essere letti dal coffee shop WiFi.

L'ultimo esempio mostra che alcune cose sembrano essere e2e ma secondo la definizione di Wikipedia e quello che sembra un utilizzo comune per me e2e è tra gli utenti oi loro dispositivi. Altrimenti, in sostanza, tutte le comunicazioni crittografate si qualificano come e2e tra le parti crittografate. Quindi una connessione a un server web non dovrebbe essere considerata e2e. Né sarebbe la comunicazione tra sistemi distribuiti. Naturalmente il termine ha ancora senso e potrebbe essere usato. Non è uno standard in alcun modo.

    
risposta data 28.02.2018 - 08:13
fonte

Leggi altre domande sui tag

L'attacco ping of death è specifico per ICMP o potrebbe anche accadere con altri protocolli di trasporto? In che modo gli esperti di sicurezza traggono vantaggio dal reverse-engineering?