Re: Felhasználóbarát titkosítást ígér az End-to-End
#1
Elküldve: 2014. 12. 19. 16:14
https://www.hwsw.hu/hirek/53349/google-end-to-end-titkositas-chrome-plugin-email.html
#2
Elküldve: 2014. 12. 19. 16:14
Most lehet, hogy keverem a szerzont a fazonnal, de emlékeim szerint nem a feloldáshoz szükséges kulcs cserél gazdát, hanem ami a betitkosításhoz kell. A feloldáshoz szükséges kulcs sosem hagyja el a feleket. Tehát ha egy harmadik fél meg is szerzi a kicserélt titkosító kulcsokat, nem megy vele semmire - maximum ő is betitkosíthat vele üzenetet, de feloldani már nem fog tudni, mert nincs privát, feloldó kulcsa hozzá.
Ettől függetlenül tényleg körülményes a csere, még ha nem is igényel biztonságos csatornát.
Ami hordozható, az nem megbízható!
#3
Elküldve: 2014. 12. 19. 16:20
A publikus kulcs valóban mehetne titkositatlanul, de ha nem tudod ellenőrizni, hogy valoban a partnered küldte (aláírás), nem ér semmit - lásd MITM
#5
Elküldve: 2014. 12. 19. 18:47
Normál esetben Pisti elküldte számodra az ő publikus kulcsát, és egy kis szöveget amit a saját privát kulcsával titkosított be, így csak az általa most elküldött publikus kulcs tudja nyitni, ez az aláírás.
Ha nyitja, akkor ezt az üzenetet valóban Pisti küldte, mert csak neki van meg a privát kulcs.
Normál esetben a gépeden tárolásra kerül Pisti publikus kulcsa, és a tény, hogy ez biza az ővé.
Csakhogy ha nem a te géped tárolja Pisti publikus kulcsát, akkor ha te kapsz egy levelet látszólag Pistitől, de valójában, Pisti anyukájától aki felhackelte a gugli szerverét és a PISTI_PUBLIC.KEY file tartalmát jól lecserélte a sajátjára, akkor amikor a levél aláírását vizsgálja, ami Anyuci privát kulcsával történt jelenleg, akkor a felhekkelt publikus kulcsot kapja meg a szervertől, így teljesen valósnak hiszi a levelet, és azt mondja neked, hogy az Pistitől van. Ez egy bonyulult mondat volt, bocs.
Szóval a lényeg, hogy ha egy HBR cég lecseréli a publikus kulcsodat míg elküld egy elevelt a főnöködnek hogy kapja be, akkor a főnököd ki fog rúgni, mert minden úgy néz ki, mintha te küldted volna neki a levelet.
#6
Elküldve: 2014. 12. 19. 19:42
Az NSA-nek, és más titkosszolgálatoknak van ezekhez kiskapujuk (anélkül nem is adhatnak ki ilyen szoftvereket az USÁ-ban), tehát akik eddig "olvasták" a leveleket (A PRISMA projekt szűrői, algoritmusai) azok ezek után is fogják.
Az NSA-t és társait leszámítva meg soha senki nem lopott el google levelezést, és nem törték fel senkinek a fiókját. Max csak akkor, ha az idióta user nem adott meg kellően erős password-öt.
Tehát kérdem én, mit változtat ez??? A világon semmit, csak ad egy hamis illúziót a sok birkának, hogy "most már aztán nagyon biztonságban vagy". Közben meg a nagy francokat!!!!!
#7
Elküldve: 2014. 12. 19. 20:36
Idézet: Totó779 - Dátum: 2014. 12. 19. 19:42
Az NSA-nek, és más titkosszolgálatoknak van ezekhez kiskapujuk (anélkül nem is adhatnak ki ilyen szoftvereket az USÁ-ban), tehát akik eddig "olvasták" a leveleket (A PRISMA projekt szűrői, algoritmusai) azok ezek után is fogják.
Az NSA-t és társait leszámítva meg soha senki nem lopott el google levelezést, és nem törték fel senkinek a fiókját. Max csak akkor, ha az idióta user nem adott meg kellően erős password-öt.
Tehát kérdem én, mit változtat ez??? A világon semmit, csak ad egy hamis illúziót a sok birkának, hogy "most már aztán nagyon biztonságban vagy". Közben meg a nagy francokat!!!!!
Kliensoldali. Lehet persze trükközni, hogy hitelesnek fogad el egy szerveren tárolt NSA kulcsot, de az túl könnyen kiderülne (elég, ha egyszer valami más csatornán rákérdezel az ismerősöd fingerprintjére). Esetleg szándékosan rosszul implementálják a titkosítást, de jó jel, hogy open source (inb4 heartbleed).
Ezen kívül AFAIK nincs ismert törés az OpenPGP-hez, de javíts(atok) ki, ha tévedek.
#8
Elküldve: 2014. 12. 19. 21:21
Ezért érdemes titkosítást használni, - mert megmentheti a világot.
#9
Elküldve: 2014. 12. 19. 22:19
A "Patriot Acts"-ban kerek perec benne van, hogy ha az NSA büfög egyet, bírói végzés nélkül is ki kell szolgálni, különben kitilthatják/bezárhatják az egész céget.
Plusz ugye ott van az is, hogy végzésre pláne ki kell adni mindent.
Ezen felül titkosítás ide vagy oda, a terroristák csak leszoktak valamiért az email-ezésre, és egyre inkább állnak vissza a hagyományos "futáros" megoldásokra, az USA elektronikus felderítési programjai meg egyre hatástalanabbak. Nem véletlenül kezdtek el ismét pénzt pumpálni a "filed agent"-ek képzésébe, és beépítésébe.
Ha ez a titkosítás dolog érne valamit, akkor az USA kb. a szomszéd Johny boy home made bombakészítésénél komolyabb terrorcselekményt egyáltalán nem tudnak felderíteni.
Szóval szerintem a google-t (és a többi ismertebb mail szolgáltatót) eddig is lehallgatták, ez után is le fogják. Akit meg nem tudnak, azt bezáratják, mint a Snowden mail szolgáltatóját.
#10
Elküldve: 2014. 12. 19. 23:24
Idézet: Totó779 - Dátum: 2014. 12. 19. 22:19
A "Patriot Acts"-ban kerek perec benne van, hogy ha az NSA büfög egyet, bírói végzés nélkül is ki kell szolgálni, különben kitilthatják/bezárhatják az egész céget.
Plusz ugye ott van az is, hogy végzésre pláne ki kell adni mindent.
Ezen felül titkosítás ide vagy oda, a terroristák csak leszoktak valamiért az email-ezésre, és egyre inkább állnak vissza a hagyományos "futáros" megoldásokra, az USA elektronikus felderítési programjai meg egyre hatástalanabbak. Nem véletlenül kezdtek el ismét pénzt pumpálni a "filed agent"-ek képzésébe, és beépítésébe.
Ha ez a titkosítás dolog érne valamit, akkor az USA kb. a szomszéd Johny boy home made bombakészítésénél komolyabb terrorcselekményt egyáltalán nem tudnak felderíteni.
Szóval szerintem a google-t (és a többi ismertebb mail szolgáltatót) eddig is lehallgatták, ez után is le fogják. Akit meg nem tudnak, azt bezáratják, mint a Snowden mail szolgáltatóját.
Még szerencse, hogy nem a usernek kell hozzá értenie, hanem az ezzel foglalkozó matematikusoknak (és programozóknak, de az algoritmusról beszélünk, nem az implementációkról)
#11
Elküldve: 2014. 12. 20. 10:30
Idézet: nxu - Dátum: 2014. 12. 19. 20:36
Nem kell kijavítani, mert nem tévedsz. Sem a PGP-t, sem a szimpla, szimmetrikus, minimum 128bites AES-t vagy ennek megfelelő erősségű nem DES titkosítást nem tudják törni (hacsak nem valami túl könnyű, túl rövid kulcs/jelszó van hozzá). Egy kivétel szokott lenni, mikor az implementáció nem biztonságos, és backdoor kerül bele, vagy valami tárolási módszeren fogják meg, de ilyenkor sem magát a titkosítást támadják, hanem a mögöttes implementációnak a gyengeségét használják ki, valahogy visszakövetkeztetnek plusz adatokra. Vagy esetleg az emberi tényezőt használják ki, valahogy megszerzik a kulcsot. Egyébként jól használva, normális implementációval az ilyen titkosítások még minimum hosszú évtizedekig törhetetlenek lesznek.
Inkább csak az a baj, hogy az emberek nem használják, mert a legtöbb átlag vagy átlag alatti felhasználónak nincs meg hozzá az informatikai kultúrája, és az ezzel járó kényelmetlenséget (kulcs/jelszó kitalálása, megjegyzése, bevitele) nem vállalja be. A legtöbb felhasználónak jelszó nélküli, windowsos adminfiókja van, titkosítatlan NTFS-sel, default bekapcsolt egyszerű fájlmegosztással, ergo a jogok sincsenek jól kiosztva, nem hogy még akármilyen titkosítás legyen. Olyan meg eszükbe sem jut, hogy ha egy oldalnak van http-s meg https-ses elérhetősége, akkor az utóbbit használják.
Pedig megéri titkosítást használni, nincs nagy hw-igénye, főleg, hogy a mai bika gépeknek nem tétel, és a mai procik többsége (kivéve ilyen Tesco value dual core celeron/P4 procik) hw-esen támogatja az AES-t. Csak némi kulcsos kényelmetlenséget kell bevállalni. A PGP csak annyiból spéci, hogy nem szimmetrikus, két jelszó van, mert minimum egy másik fél is be van vonva a dologba, nem a biztonságos tárolás, hanem biztonságos adatmegosztás a cél.
#13
Elküldve: 2014. 12. 20. 11:03
#14
Elküldve: 2014. 12. 20. 11:37
Én ilyet nem olvastam benne. Melyik résznél találtad meg?
#15
Elküldve: 2014. 12. 20. 12:01
és mire jó az ecceri ember gépén a sok-sok titkosítás? max arra, hogy a warezolt winje ne töltődjön be a warezolt progikkal, legjobb esetben. esetleg ne tudja megnézni illetéktelen a hómpornóját, vagy egyéb szexuális szokásait.
nabumm. ezekért kurvára felesleges a többieknek a rengeteg jelszógépelés, szarakodás, ha épp a titkosító progi száll el.
Idézet
#17
Elküldve: 2014. 12. 20. 14:01
#18
Elküldve: 2014. 12. 20. 16:58
#19
Elküldve: 2014. 12. 20. 17:05
Idézet: Csula kapitány - Dátum: 2014. 12. 20. 12:01
nabumm. ezekért kurvára felesleges a többieknek a rengeteg jelszógépelés, szarakodás, ha épp a titkosító progi száll el.
Mondod ezt te, aki magad is évek óta titkosítasz. Hogy mire jó? Biztonságot ad, meg lehet használni, ha már rendelkezésre áll és nem kér sokat. Mondjuk nagyon egyszeri embernek azért nem ajánlom, mert ha elfelejti a jelszót, akkor bukó van az adatoknak.
A titkosító program meg nem száll el. Nekem már több áramszünetet és szabálytalan leállítást kibírt.
#20
Elküldve: 2014. 12. 20. 21:15
Ez éppen olyan hibás megközelítés, mintha azt mondanád egy olyan cikkben ami a szoftveres RAID1 feltalálásáról szól, hogy az egyszeri embernek minek ez a cucc?
Egyszeri embernek (pl. szüleim) nem kell sem RAID1 (bár van nekik, csak nem tudják hogy az az) sem pedig PGP, mert cirka a süti receptek a legtitkosabb dolgok amiről leveleznek. Meg hogy a koreai sorozatokat amiket néznek ahhoz hol van felirat.
Viszont nem csak egyszeri ember létezik, hanem google céges felhasználó is, aki esetleg nem szeretné harmadik személy (a google) által olvasható formában tartani a céges levelezést. Na, neki szól ez a feature.