Encrypted Email

[deninho]

το password για το κρυπτογραφημένο email πως το επικοινωνείς στον παραλήπτη; λογικά πρέπει να οτν έχεις ενημερώσει με άλλον τρόπο, σωστά; οπότε και πάλι δε χάνεται η ασφάλεια;

[EraserheadX]

Μπορείς να του το πεις τηλεφωνικά (οπότε ένας adversary πρέπει να παρακολουθεί και τα τηλέφωνά σας) ή να έχετε κάποιο προσυμφωνημένο. Τέλεια ασφάλεια έτσι κι αλλιώς δύσκολο να έχεις.

 

Το signal είναι πονεμένη ιστορία. Το χειρότερο είναι όταν προσπαθείς να πείσεις κάποιον που καταλαβαίνει τη διαφορά αλλά απλά δεν ενδιαφέρεται.

[trendy]

Δε δουλεύει με public-private keys για να αποφεύγονται τα passwords;

 

Το signal μια χαρά είναι, αλλά δυστυχώς δεν κρυπτογραφεί τα απλά sms. Αλλά από την άλλη όταν έχεις τα whatsup, fb messenger, skype, viber που είναι πιο διαδεδομένα, είναι δύσκολο για κάποιον να βάλει άλλο ένα πρόγραμμα για μηνύματα.

[EraserheadX]

password χρειάζεται όταν θέλεις να στείλεις encrypted mail σε κάποιον που δεν έχει protonmail account

[Delijohn]

Δεν ήθελα να πλατιάσω, μια κ μιλάμε για το protonmail εδώ, αλλά θα προσπαθήσω να μη βγω πολύ offtopic.

 

Το signal με απλά λόγια, είναι μια εφαρμογή που δημιουργεί ένα κανάλι κρυπτογραφημένο και σου επιτρέπει την επικοινωνία με τον άλλο. Όλα τα υπόλοιπα, μέχρι ένα βαθμό μπορούν να τα παρακολουθήσουν "κάποιοι". Είτε είναι ένας admin στη δουλειά, είτε είναι ένας "καλός κυριούλης" που απλά μοιράζει τσάμπα δίκτυο στη καφετέρια της γειτονιάς σας, είτε σε ένα hotspot αεροδρομίου/ξενοδοχείου/δημόσιου χώρου. Λεπτομέρειες στο κατά πόσο είναι ή όχι κρυπτογραφημένα τα δεδομένα μας δε μπορώ να παραθέσω, μια και όλοι "μας προσέχουν κ μας φροντίζουν", αλλά σίγουρα τίποτα δεν είναι τόσο καλό σαν λύση όσο το signal. Το hype επειδή το πρότεινε ο snowden το βάζω στην άκρη. Ακόμα και το telegram δεν είναι τόσο αθώο με τα default settings του.

Αντί για το protonmail, μια πιο normal λύση είναι η χρήση ενός δημοσίου κι ενός ιδιωτικού κλειδιού. 

Το πώς δουλεύει κ το πόσο αξιόλογο κ αξιόπιστο είναι, φαίνεται (εν μέρει) στο βιντεάκι.

[trendy]

@Delijohn δεν είναι τόσο εύκολο. Σχεδόν όλες οι πλατφόρμες μηνυμάτων χρησιμοποιούν κάποιον ασφαλή δίαυλο επικοινωνίας, https συνήθως. Οπότε είναι δύσκολο για κάποιον man in the middle να διαβάσει τι στέλνεις. Αλλά όταν τα μηνύματα στέλνονται μέσω ενός κεντρικού server ή αποθηκεύονται κάπου, ο διαχειριστής αυτού του server θα μπορεί να τα διαβάσει. Το signal δεν χρησιμοποιεί κεντρικό server και επιπλέον το περιεχόμενο του γραμματοκιβωτίου σου είναι κρυπτογραφημένο.Μπορείς να εξάγεις τα μηνύματα σε άλλη πλατφόρμα, αλλά το signal σε προειδοποιεί ότι θα είναι plaintext πλέον.

Αν θέλετε να συνεχίσουμε την κουβέντα, μιας και υπάρχουν λύσεις, πχ. pidgin με OTR, να το χωρίσουμε το νήμα να μην σπαμάρουμε το protonmail.

Έγινε επεξεργασία Ιανουάριος 21, 2016 από trendy

[Wizard!]

Μια κι εγώ άνοιξα το θέμα, δε νομίζω ότι υπάρχει πρόβλημα να συνεχίσουμε εδώ. Ο σκοπός του Proton είναι η ασφαλής επικοινωνίας, αλλά και η ασφαλής αποθήκευση των δεδομένων μας, κάτι που δεν ισχύει για τους άλλους. Οπότε οι εναλλακτικές μας ενδιαφέρουν

[trendy]

Ωραία, συνεχίζουμε εδώ. Προσωπικά έχω pgp με enigmail στο Thunderbird σε όλους σχεδόν τους λογαριασμούς μου, αλλά αναγνωρίζω ότι δεν είναι και ό,τι πιο εύκολο για έναν άσχετο.

Επίσης στα IM, από το pidgin με το OTR plugin έχω κρυπτογραφημένη επικοινωνία χωρίς ιστορικό.

[Delijohn]

@trendy, 2 ερωτήσεις.

Γιατί δεν χρησιμοποιείς signal; Θεωρείς ότι χάνει σε κάτι, γιατί δεν κατάλαβα κάτι τέτοιο.

 

Γενικώς το θέμα με το https το γνωρίζω, μα εδώ είμαστε ένα βήμα παραπέρα. Άλμα ολόκληρο. Δε μιλάμε για man in the middle etc, μιλάμε για κρυπτογράφηση. Κάποιοι δεν θέλουν η google και η κάθε google να βλέπει τι λένε.. κάποιοι μιλάνε με mail στο χώρο εργασίας ή από το σπίτι τους και δε θέλουν ακόμα κ ο οποιοσδήποτε μπορεί να διαβάσει αυτά που γράφουν... οπότε μιλάμε για λύσεις κρυπτογράφησης. Είναι καλό, κυρίως σε επαγγελματικό περιβάλλον, να υπάρχουν κρυπτογραφημένοι δίοδοι επικοινωνίας. Και για να ξέρουμε πως ο παραλήπτης θα'ναι ο μόνος που θα διαβάσει το mail μας.. και για να σιγουρευόμαστε πως το mail που παραλάβαμε είναι όντως από εκείνον κ μόνο από εκείνον. 

Έτσι ούτε διαχειριστές, ούτε η google, ούτε το fbi κι η nsa ή εδώ η gchq μπορούν να διαβάσουν τα mail σου. Και το κυριότερο; Ούτε κανένας άλλος που μπορεί.. γιατί κυρίως από τις άγνωστες "απειλές" πρέπει να φοβόμαστε.. 

[trendy]

Το χρησιμοποιώ, δεν ξέρω αν έγινε αντιληπτό το αντίθετο από τα συμφραζόμενά μου. Το μόνο που με χαλάει είναι που δεν κρυπτογραφεί τα sms. Αλλά είναι περιορισμένο το κοινό που το χρησιμοποιεί, κυρίως γιατί δεν είναι της μόδας.

[Shaman]

Έτσι ούτε διαχειριστές, ούτε η google, ούτε το fbi κι η nsa ή εδώ η gchq μπορούν να διαβάσουν τα mail σου. Και το κυριότερο; Ούτε κανένας άλλος που μπορεί.. γιατί κυρίως από τις άγνωστες "απειλές" πρέπει να φοβόμαστε.. 

 

Μακάρι να ήταν τόσο απλό.

[Delijohn]

Αν έχεις δικό σου private key και ένα public, τι είναι το πολύπλοκο; Αν φοβάσαι τόσο πολύ, γράφεις κ τη δικιά σου εφαρμογή σε ένα απόγευμα (enc/de-crypt) κ αυτοματοποιεί τη διαδικασία.. αν και καλύτερα να χρησιμοποιούμε γνωστές open source λύσεις. Δοκιμάσμένες κ τεσταρισμένες από γνώστες.

[deninho]

μάλλον στο ότι κανείς δεν μπορεί να διαβάσει τα emails σου αναφέρεται

[Shaman]

Αν έχεις δικό σου private key και ένα public, τι είναι το πολύπλοκο; Αν φοβάσαι τόσο πολύ, γράφεις κ τη δικιά σου εφαρμογή σε ένα απόγευμα (enc/de-crypt) κ αυτοματοποιεί τη διαδικασία.. αν και καλύτερα να χρησιμοποιούμε γνωστές open source λύσεις. Δοκιμάσμένες κ τεσταρισμένες από γνώστες.

 

Καλή η θεωρία, αλλά στην πράξη τα πράγματα δεν είναι τόσο ρόδινα - για την ακρίβεια είναι μαύρα.

 

Απόλυτη προστασία, όπως την περιγράφεις, δεν μπορεί να έχει ούτε ο πιο ειδικός/παρανοϊκός από εμάς - πόσο μάλλον ο απλός χρήστης.

Ουσιαστικά τα δεδομένα σου είναι ασφαλή γιατί κανείς δεν ενδιαφέρεται να αποκτήσει πρόσβαση σε αυτά.

Αν σε στοχοποιήσουν (ακόμα και κάποιος geek που ξέρει - πολύ, δε, περισσότερο, κρατικές υπηρεσίες με πρακτικά ανεξάντλητους πόρους, σαν αυτές που αναφέρεις), κλάφτα Χαράλαμπε.

 

Από εκεί και πέρα, για απλό χρήστη που θέλει να αισθάνεται ότι προστατεύεται στοιχειωδώς (για ψυχολογικούς έστω, λόγους), υπάρχουν όντως δοκιμασμένες λύσεις (π.χ. PGP) με ελάχιστο overhead στη χρήση.

Έγινε επεξεργασία Ιανουάριος 21, 2016 από Shaman

[EraserheadX]

ProtonMail Release Date Delayed Until February 18th

 

[cna]

Καλή η θεωρία, αλλά στην πράξη τα πράγματα δεν είναι τόσο ρόδινα - για την ακρίβεια είναι μαύρα.

 

Απόλυτη προστασία, όπως την περιγράφεις, δεν μπορεί να έχει ούτε ο πιο ειδικός/παρανοϊκός από εμάς - πόσο μάλλον ο απλός χρήστης.

Ουσιαστικά τα δεδομένα σου είναι ασφαλή γιατί κανείς δεν ενδιαφέρεται να αποκτήσει πρόσβαση σε αυτά.

Αν σε στοχοποιήσουν (ακόμα και κάποιος geek που ξέρει - πολύ, δε, περισσότερο, κρατικές υπηρεσίες με πρακτικά ανεξάντλητους πόρους, σαν αυτές που αναφέρεις), κλάφτα Χαράλαμπε.

 

Από εκεί και πέρα, για απλό χρήστη που θέλει να αισθάνεται ότι προστατεύεται στοιχειωδώς (για ψυχολογικούς έστω, λόγους), υπάρχουν όντως δοκιμασμένες λύσεις (π.χ. PGP) με ελάχιστο overhead στη χρήση.

 

Καλή, χρυσή η κρυπτογράφηση αλλά όταν φτάνουν στο σημείο να μπορούν να κάνουν αυτό   τότε δεν μπορώ να φανταστώ κάποιον ικανοποιητικό τρόπο προστασίας.

Έγινε επεξεργασία Ιανουάριος 24, 2016 από cna

[deninho]

σταματάς να χρησιμοποιείς υπολογιστή

[Delijohn]

Τα backdoors δεν τα αποφεύγουμε ποτέ. Ούτε αυτές τις "οργανώσεις". Το θέμα είναι να "γλιτώσεις" από οτιδήποτε άλλο. Αλλιώς ανοίγεις λάκκο στον κήπο κ ρίχνεις μέσα οτιδήποτε ηλεκτρονικό.