[HWSW]

Jövõre érkezhet a Google titkosítási megoldása, amely az elektronikus levelezést hivatott biztonságosabbá tenni, legalábbis Chrome böngészõben. Az OpenPGP-alapú End-to-End névre hallgató plugin GitHubon már megtekinthetõ.
https://www.hwsw.hu/hirek/53349/google-end-to-end-titkositas-chrome-plugin-email.html

[Root_Kiskacsa]

"A PGP fõ problémáját az jelenti, hogy a felhasználóknak valamilyen módon ki kell cserélniük egymással a feloldáshoz szükséges kulcsokat - ez pedig titkosítatlan csatornán a teljes késõbbi kommunikáció biztonságát veszélybe sodorhatja, így elég körülményes feladat."

Most lehet, hogy keverem a szerzont a fazonnal, de emlékeim szerint nem a feloldáshoz szükséges kulcs cserél gazdát, hanem ami a betitkosításhoz kell. A feloldáshoz szükséges kulcs sosem hagyja el a feleket. Tehát ha egy harmadik fél meg is szerzi a kicserélt titkosító kulcsokat, nem megy vele semmire - maximum õ is betitkosíthat vele üzenetet, de feloldani már nem fog tudni, mert nincs privát, feloldó kulcsa hozzá.
Ettõl függetlenül tényleg körülményes a csere, még ha nem is igényel biztonságos csatornát.

[nxu]

@Root_Kiskacsa

A publikus kulcs valóban mehetne titkositatlanul, de ha nem tudod ellenőrizni, hogy valoban a partnered küldte (aláírás), nem ér semmit - lásd MITM

[galffy]

@nxu: Így.

[YleGreg]

@Root_Kiskacsa: Kapsz egy levelet a Pistitõl, aki azt elkódolta a Te publikus kulcsoddal, így csak te tudod feloldani a privát kulccsoddal ami sosem hagyta el a gépedet. Így a titkosítás része okés.

Normál esetben Pisti elküldte számodra az õ publikus kulcsát, és egy kis szöveget amit a saját privát kulcsával titkosított be, így csak az általa most elküldött publikus kulcs tudja nyitni, ez az aláírás.
Ha nyitja, akkor ezt az üzenetet valóban Pisti küldte, mert csak neki van meg a privát kulcs.
Normál esetben a gépeden tárolásra kerül Pisti publikus kulcsa, és a tény, hogy ez biza az õvé.

Csakhogy ha nem a te géped tárolja Pisti publikus kulcsát, akkor ha te kapsz egy levelet látszólag Pistitõl, de valójában, Pisti anyukájától aki felhackelte a gugli szerverét és a PISTI_PUBLIC.KEY file tartalmát jól lecserélte a sajátjára, akkor amikor a levél aláírását vizsgálja, ami Anyuci privát kulcsával történt jelenleg, akkor a felhekkelt publikus kulcsot kapja meg a szervertõl, így teljesen valósnak hiszi a levelet, és azt mondja neked, hogy az Pistitõl van. Ez egy bonyulult mondat volt, bocs.
Szóval a lényeg, hogy ha egy HBR cég lecseréli a publikus kulcsodat míg elküld egy elevelt a fõnöködnek hogy kapja be, akkor a fõnököd ki fog rúgni, mert minden úgy néz ki, mintha te küldted volna neki a levelet.

[Totó779]

Könyörgöm, valaki mondja már el nekem, hogy ez mire jó, mert én nem értem.

Az NSA-nek, és más titkosszolgálatoknak van ezekhez kiskapujuk (anélkül nem is adhatnak ki ilyen szoftvereket az USÁ-ban), tehát akik eddig "olvasták" a leveleket (A PRISMA projekt szûrõi, algoritmusai) azok ezek után is fogják.
Az NSA-t és társait leszámítva meg soha senki nem lopott el google levelezést, és nem törték fel senkinek a fiókját. Max csak akkor, ha az idióta user nem adott meg kellõen erõs password-öt.

Tehát kérdem én, mit változtat ez??? A világon semmit, csak ad egy hamis illúziót a sok birkának, hogy "most már aztán nagyon biztonságban vagy". Közben meg a nagy francokat!!!!!

[nxu]

Idézet: Totó779 - Dátum: 2014. 12. 19. 19:42

Könyörgöm, valaki mondja már el nekem, hogy ez mire jó, mert én nem értem.

Az NSA-nek, és más titkosszolgálatoknak van ezekhez kiskapujuk (anélkül nem is adhatnak ki ilyen szoftvereket az USÁ-ban), tehát akik eddig "olvasták" a leveleket (A PRISMA projekt szûrõi, algoritmusai) azok ezek után is fogják.
Az NSA-t és társait leszámítva meg soha senki nem lopott el google levelezést, és nem törték fel senkinek a fiókját. Max csak akkor, ha az idióta user nem adott meg kellõen erõs password-öt.

Tehát kérdem én, mit változtat ez??? A világon semmit, csak ad egy hamis illúziót a sok birkának, hogy "most már aztán nagyon biztonságban vagy". Közben meg a nagy francokat!!!!!

Kliensoldali. Lehet persze trükközni, hogy hitelesnek fogad el egy szerveren tárolt NSA kulcsot, de az túl könnyen kiderülne (elég, ha egyszer valami más csatornán rákérdezel az ismerősöd fingerprintjére). Esetleg szándékosan rosszul implementálják a titkosítást, de jó jel, hogy open source (inb4 heartbleed).

Ezen kívül AFAIK nincs ismert törés az OpenPGP-hez, de javíts(atok) ki, ha tévedek.

[YleGreg]

@Totó779: Te egy olyan cég alkalmazottja vagy , ami a (céges) google mailt használja a céges levelezésre. Ez a cég szupererõs paprikát fejleszt, és te home office-on a céges google fiókodat használva üzened meg a kollégának, hogy rájöttél, hogy vogon verseket felolvasva a paprikának az olyan erõs lesz hogy eltöri a cserepet és kimászik. Csakhogy miközben térget kerget körbe-körbe a mini triffid, elfelejtet hogy a kolléga kiküldetésben van parasztfalván, ahova nyomtatva viszi a leveleket Mailer Démona (szül. Bongyor Gizella) így aztán hála a kódolás nélkül elárult know-hownak az egész parasztfalvai kirendeltség már aznap vogon verseket magol és dalol, másnap pedig felvirrad a Triffidek napja.

Ezért érdemes titkosítást használni, - mert megmentheti a világot.

[Totó779]

@nxu: Nem értek hozzá technikailag, de gyanús, hogy az USA-ban a nagy cégeknek nem lehet olyan titkosítást használni, amit nem lehet törni, és amihez nem férnek hozzá a titkosszolgálatok.
A "Patriot Acts"-ban kerek perec benne van, hogy ha az NSA büfög egyet, bírói végzés nélkül is ki kell szolgálni, különben kitilthatják/bezárhatják az egész céget.
Plusz ugye ott van az is, hogy végzésre pláne ki kell adni mindent.

Ezen felül titkosítás ide vagy oda, a terroristák csak leszoktak valamiért az email-ezésre, és egyre inkább állnak vissza a hagyományos "futáros" megoldásokra, az USA elektronikus felderítési programjai meg egyre hatástalanabbak. Nem véletlenül kezdtek el ismét pénzt pumpálni a "filed agent"-ek képzésébe, és beépítésébe.
Ha ez a titkosítás dolog érne valamit, akkor az USA kb. a szomszéd Johny boy home made bombakészítésénél komolyabb terrorcselekményt egyáltalán nem tudnak felderíteni.
Szóval szerintem a google-t (és a többi ismertebb mail szolgáltatót) eddig is lehallgatták, ez után is le fogják. Akit meg nem tudnak, azt bezáratják, mint a Snowden mail szolgáltatóját.

[nxu]

Idézet: Totó779 - Dátum: 2014. 12. 19. 22:19

@nxu: Nem értek hozzá technikailag, de gyanús, hogy az USA-ban a nagy cégeknek nem lehet olyan titkosítást használni, amit nem lehet törni, és amihez nem férnek hozzá a titkosszolgálatok.
A "Patriot Acts"-ban kerek perec benne van, hogy ha az NSA büfög egyet, bírói végzés nélkül is ki kell szolgálni, különben kitilthatják/bezárhatják az egész céget.
Plusz ugye ott van az is, hogy végzésre pláne ki kell adni mindent.

Ezen felül titkosítás ide vagy oda, a terroristák csak leszoktak valamiért az email-ezésre, és egyre inkább állnak vissza a hagyományos "futáros" megoldásokra, az USA elektronikus felderítési programjai meg egyre hatástalanabbak. Nem véletlenül kezdtek el ismét pénzt pumpálni a "filed agent"-ek képzésébe, és beépítésébe.
Ha ez a titkosítás dolog érne valamit, akkor az USA kb. a szomszéd Johny boy home made bombakészítésénél komolyabb terrorcselekményt egyáltalán nem tudnak felderíteni.
Szóval szerintem a google-t (és a többi ismertebb mail szolgáltatót) eddig is lehallgatták, ez után is le fogják. Akit meg nem tudnak, azt bezáratják, mint a Snowden mail szolgáltatóját.

Még szerencse, hogy nem a usernek kell hozzá értenie, hanem az ezzel foglalkozó matematikusoknak (és programozóknak, de az algoritmusról beszélünk, nem az implementációkról)

[Raynes]

Idézet: nxu - Dátum: 2014. 12. 19. 20:36

Ezen kívül AFAIK nincs ismert törés az OpenPGP-hez, de javíts(atok) ki, ha tévedek.

Nem kell kijavítani, mert nem tévedsz. Sem a PGP-t, sem a szimpla, szimmetrikus, minimum 128bites AES-t vagy ennek megfelelő erősségű nem DES titkosítást nem tudják törni (hacsak nem valami túl könnyű, túl rövid kulcs/jelszó van hozzá). Egy kivétel szokott lenni, mikor az implementáció nem biztonságos, és backdoor kerül bele, vagy valami tárolási módszeren fogják meg, de ilyenkor sem magát a titkosítást támadják, hanem a mögöttes implementációnak a gyengeségét használják ki, valahogy visszakövetkeztetnek plusz adatokra. Vagy esetleg az emberi tényezőt használják ki, valahogy megszerzik a kulcsot. Egyébként jól használva, normális implementációval az ilyen titkosítások még minimum hosszú évtizedekig törhetetlenek lesznek.

Inkább csak az a baj, hogy az emberek nem használják, mert a legtöbb átlag vagy átlag alatti felhasználónak nincs meg hozzá az informatikai kultúrája, és az ezzel járó kényelmetlenséget (kulcs/jelszó kitalálása, megjegyzése, bevitele) nem vállalja be. A legtöbb felhasználónak jelszó nélküli, windowsos adminfiókja van, titkosítatlan NTFS-sel, default bekapcsolt egyszerű fájlmegosztással, ergo a jogok sincsenek jól kiosztva, nem hogy még akármilyen titkosítás legyen. Olyan meg eszükbe sem jut, hogy ha egy oldalnak van http-s meg https-ses elérhetősége, akkor az utóbbit használják.

Pedig megéri titkosítást használni, nincs nagy hw-igénye, főleg, hogy a mai bika gépeknek nem tétel, és a mai procik többsége (kivéve ilyen Tesco value dual core celeron/P4 procik) hw-esen támogatja az AES-t. Csak némi kulcsos kényelmetlenséget kell bevállalni. A PGP csak annyiból spéci, hogy nem szimmetrikus, két jelszó van, mert minimum egy másik fél is be van vonva a dologba, nem a biztonságos tárolás, hanem biztonságos adatmegosztás a cél.

[tefolibo]

In God we trust -- not in Google!

[nxu]

Idézet: tefolibo - Dátum: 2014. 12. 20. 10:52

In God we trust -- not in Google!

Ennek a megoldásnak épp az a lényege, hogy papíron a Google sem tudja elolvasni a leveleket.

[egymajom]

@Totó779: "A "Patriot Acts"-ban kerek perec benne van, hogy ha az NSA büfög egyet, bírói végzés nélkül is ki kell szolgálni, különben kitilthatják/bezárhatják az egész céget."

Én ilyet nem olvastam benne. Melyik résznél találtad meg?

[Csula kapitány]

@Raynes:
és mire jó az ecceri ember gépén a sok-sok titkosítás? max arra, hogy a warezolt winje ne töltõdjön be a warezolt progikkal, legjobb esetben. esetleg ne tudja megnézni illetéktelen a hómpornóját, vagy egyéb szexuális szokásait.
nabumm. ezekért kurvára felesleges a többieknek a rengeteg jelszógépelés, szarakodás, ha épp a titkosító progi száll el.

[Totó779]

@egymajom: USA PATRIOT Act, Title II

[Totó779]

Ja igen, persze abban igazad van, hogy az hivatalosan nincs benne a törvénybe, hogy ilyenkor be lehet zárni adott céget, csak az, hogy kötelességük kiadni az adatokat a hatóságok kérésére. Minden más, csak ebbõl a kötelezettségbõl fakadó jogi szankció. Elég megnézni, hogy miként zsarolták ki pár éve a Blackberry-bõl a BBM titkosítási kulcsokat, illetve hogy miként zártak/zárattak be olyan cégeket, amik nem voltak hajlandó kötélnek állni. És persze ez nem csak a PA hibája, az egész USA jogrendszer arra van kihegyezve, hogy az állami szerveknek korlátlan joga legyen bárkit, bármikor, bárhol megfigyelni. Akár indok nélkül is. (Lényegében ez utóbbi a PA).

[egymajom]

@Totó779: Attól függ mit értünk hatóság alatt, egyszer ezt a PA-t elég rendesen átolvastam, és az együttmûködés és adatkiadás csak bírósági engedély birtokában volt kötelesség, amúgy nem. A megfigyelés törvényszerûségét persze leírja. de emlékszem még egy olyan pontra is, ami leírja, hogy ha együttmûködsz, az extra költségeket az állambácsinak kell állnia. Hogy ezután mi volt a gyakorlat azt persze én sem tudom, szvsz mindig is vékony volt a határ egy titkosszolgálat és egy maffia között

[Raynes]

Idézet: Csula kapitány - Dátum: 2014. 12. 20. 12:01

és mire jó az ecceri ember gépén a sok-sok titkosítás? max arra, hogy a warezolt winje ne töltõdjön be a warezolt progikkal, legjobb esetben. esetleg ne tudja megnézni illetéktelen a hómpornóját, vagy egyéb szexuális szokásait.
nabumm. ezekért kurvára felesleges a többieknek a rengeteg jelszógépelés, szarakodás, ha épp a titkosító progi száll el.

Mondod ezt te, aki magad is évek óta titkosítasz. Hogy mire jó? Biztonságot ad, meg lehet használni, ha már rendelkezésre áll és nem kér sokat. Mondjuk nagyon egyszeri embernek azért nem ajánlom, mert ha elfelejti a jelszót, akkor bukó van az adatoknak.

A titkosító program meg nem száll el. Nekem már több áramszünetet és szabálytalan leállítást kibírt.

[YleGreg]

@avmanster: Rossz irányból nézed a kérdest, egy eszközhöz (a titkosításhoz) próbálsz felhasználást (egyszeri ember) párosítani.
Ez éppen olyan hibás megközelítés, mintha azt mondanád egy olyan cikkben ami a szoftveres RAID1 feltalálásáról szól, hogy az egyszeri embernek minek ez a cucc?

Egyszeri embernek (pl. szüleim) nem kell sem RAID1 (bár van nekik, csak nem tudják hogy az az) sem pedig PGP, mert cirka a süti receptek a legtitkosabb dolgok amirõl leveleznek. Meg hogy a koreai sorozatokat amiket néznek ahhoz hol van felirat.

Viszont nem csak egyszeri ember létezik, hanem google céges felhasználó is, aki esetleg nem szeretné harmadik személy (a google) által olvasható formában tartani a céges levelezést. Na, neki szól ez a feature.