Quali erano le backdoor del Lavabit per le e-mail dei loro clienti? [chiuso]

0

Si è parlato del caso Lavabit. Le nuove informazioni sono state pubblicate oggi, ma non sono importanti.

Mi piacerebbe sapere come ha funzionato Lavabit. Innanzitutto pensavo che facessero semplicemente qualcosa con OpenPGP. Poi ho capito che forse non era il caso dal momento che il governo degli Stati Uniti ha richiesto una sorta di chiave privata universale per tutti gli utenti. Che diavolo è quello? Ho letto che Lavabit è stato costretto a garantire una sorta di backdoor, ma non capisco come ha funzionato. Se i loro clienti hanno appena crittografato il contenuto con le proprie chiavi pubbliche / private, nessuno sarebbe in grado di accedere al contenuto. O è solo la crittografia delle informazioni di intestazione (come l'indirizzo e-mail del mittente e del destinatario) che Lavabit ha assicurato?

Grazie.

    
posta Jakub Žitný 14.11.2013 - 03:03
fonte

2 risposte

1

Lavabit possedeva infatti una chiave privata principale e veniva utilizzato per crittografare il nome utente e la password così come venivano inviati ai server di Lavabit. Indipendentemente da ciò che Lavabit ha fatto da quel momento in poi per proteggere i dati, l'NSA ha raccolto i dati della sessione SSL e li ha salvati per un uso successivo. Con le chiavi private, potevano decifrare le password inviate su Internet.

L'unica cosa che Lavabit ha fatto in modo diverso è stato pubblicizzato come servizio di posta elettronica sicuro. Se ti stai chiedendo come puoi evitare che il tuo servizio diventi vulnerabile. Implementare la segretezza, che è il processo di aggiunta di due layer di SSL, uno all'esterno per l'autenticazione usando una coppia di chiavi permanente che è stata verificata da una CA e l'altra con una coppia di chiavi usa e getta che deve essere distrutta dopo l'uso e solo memorizzato nella RAM. Poiché questo è solo temporaneo, la chiave non può essere recuperata. Questo è efficace solo per mantenere sicuri i dati passati. Inoltrare segretezza su Wikipedia

Bene, la NSA raccoglie solo i metadati, quindi non dovrai preoccuparti di questo ...

    
risposta data 14.11.2013 - 21:32
fonte
3

PGP funziona solo quando entrambi gli utenti utilizzano PGP e si scambiano già le altre chiavi pubbliche su un canale affidabile. Quando vuoi inviare un'email a qualcuno con cui non hai mai avuto contatti, non puoi farlo.

Inoltre, non esiste un modo valido per un servizio basato su Web per memorizzare le chiavi degli utenti sul proprio computer. Ci sono funzionalità come cookie e localstorage per memorizzare i dati sul client, ma nessuna di queste garantisce persistenza dalle specifiche. Ciò significa che il rischio di perdere le proprie chiavi private sarebbe piuttosto elevato con una soluzione client-side.

A proposito: è possibile utilizzare PGP su un servizio di posta elettronica pubblico che non lo supporta ufficialmente. È possibile utilizzare qualsiasi supporto che trasferisca il testo per lo scambio di messaggi crittografati con PGP. Significa solo che è necessario eseguire en- e decifrare manualmente.

Ciò che Lavabit stava facendo era crittografare i dati degli utenti con una coppia di chiavi derivata dalla password degli utenti - la stessa password che viene utilizzata per accedere al servizio. Interrompendo la connessione SSL / TLS tra client e server sarebbe stato possibile ottenere tale password, accedere all'account utente e leggere la loro posta elettronica. Inoltre, non è mai stato impossibile per Lavabit ottenere informazioni discriminatorie sui suoi utenti. Hanno rispettato i warrant di ricerca in passato quando era sulla pedopornografia e quando ha preso di mira utenti specifici .

    
risposta data 14.11.2013 - 10:38
fonte

Leggi altre domande sui tag