Kiborg777 Aug 4 2014 at 00:32

Как совместить приятное с полезным (анонимность и приватность) в email-е

5 min

23K

Comments 13

Disasm Aug 4 2014 at 06:33

> email
> анонимно
Анонимно это когда у вас email-адрес каждый раз разный и ключ gpg тоже. Если вы два раза отправили письмо с одного email, то это уже не анонимность, поскольку позволяет отследить ваш граф общения.

SLY_G Aug 4 2014 at 09:53

А по-моему, анонимность сохраняется, пока все эти емейлы не связаны с конкретным человеком.

Disasm Aug 4 2014 at 09:59

ФИО, паспортные данные, фотография, IP-адрес, ник, список людей, с которыми вы общаетесь — всё это в разной степени связано с вами как с конкретным человеком.

SLY_G Aug 4 2014 at 11:16

Что никак не противоречит моему утверждению.
Если два емейла пришли с одного и того же адреса, это ещё не означает, что анонимность нарушена.
Если когда-либо этот адрес удастся приписать конкретному человеку, тогда все письма будут приписаны ему — так и есть. Но пока не установлен — аноним.

bubuq Aug 4 2014 at 06:50

Желательно, чтобы в email header-ах не указывался IP address отправителя.

А с прнимающим SMTP сервером, который вставит Received:, вы тоже договоритесь?

catharsis Aug 4 2014 at 09:52

Некоторые почтовые сервисы указывают IP-адрес клиента даже при отправке через web-интерфейс, а некоторые не указывают.
Например если человек не параноик и просто пользуется Gmail, все равно не видно, из какой страны отправлено письмо.
С SMTP может быть что-то похожее.

veam Aug 4 2014 at 09:19

Тут основной недостаток в том, что у получателя тоже должен быть настроет pgp.

А как вы относитесь к подобным действиям гугла?
Нарушает ли на ваш взгляд автоматический анализ почты пользователей тайну переписки, которая гарантирована в конституции, причем не только у нас?
tech.onliner.by/2014/08/04/abuse

Kiborg777 Aug 4 2014 at 17:01

Плохо отношусь т.к. не прописана четко грань, что можно Гуглу сообщать в «органы» (и не только), а что — нельзя. Я понимаю, что юридически Гугл ничего не нарушил и в TOS такой случай прописан, детская порнография — действительно очень плохая вещь, но все равно, учитывая, что Гугл читает и анализирует email-ы, я бы не стал использовать его для «чувствительных» вещей (каждый определят для себя сам понятие «чувствительный») — никто не знает, что прийдет в голову Гуглу — например, он может начать передавать переписки работников работодателям, если она велась с рабочего компьютера.

z3apa3a Aug 4 2014 at 12:29

Не очень правильно организовывать некую анонимность ради анонимности. Любые меры, которые вы предпринимаете, не должны быть абстрактными, они должны решать конкретную задачу. Мне не очень понятно, какую именно задачу вы хотите решить внедряя tor для доступа к ящику электронной почты. В большинстве сценариев то, что вы предлагаете сделать, негативно влияет на безопасность как tor так и электронной почты, т.к. пуская трафик через tor, вы всегда даете доступ к нему недоверенной стороне, открывая возможности Man-in-the-Middle. Использовать tor для электронной почты без очень веских на то причин я бы не рекомендовал. SSL не самая надежная защита трафика, она достаточна только для самых общих задач. Доступ через tor не дает никаких дополнительных преимуществ по сравнению с прямым доступом к почтовому серверу, который скрывает IP-адрес отправителя письма, но добавляет дополнительные риски.

Kiborg777 Aug 4 2014 at 17:08

МiM может быть благополучно проведена без всякого Тора при наличии соответствующих ресурсов, но Тор предоставляет дополнительный уровень защиты, скрывая как минимум ваше местоположение (и, как следствие, затрудняет косвенную идентификацию пользователя через IP и MAC адресa), что может быть очень важным во многих случаях.

Потовый сервер, «скрывающий» IP адрес отправителя, скрывает его от получателя, но отнюдь не от третьих «заинтересованных» лиц.

z3apa3a Aug 4 2014 at 17:54

Вы заблуждаетесь относительно tor. Обычно для проведения MitM требуется доступ к физической среде передачи данных, эта атака трубет «близости» к пользователю. В случае tor трафик пользователя идет через exit node. В качестве exit node может выступать любой желающий с любыми намерениями. Например, Вы можете у себя поднять exit node и снифить пароли пользователя/авторизационные куки. Улов будет очень высоким, порядка 500-1000 в сутки на достаточно быстром канале.А если подменять сертификат для SSL-соединений — то еще больше.

Это одна из причин, почему tor ни в коем случае не следует использовать при повседневном браузинге — он снижает безопасность среднестатистического пользователя, а не повышает ее.

mibori Aug 4 2014 at 15:59

на openmailbox.org можно зарегаться чере TOR, но для этого будет нужен включенный javascript :)

Kiborg777 Aug 4 2014 at 17:03

javascript для регистрации требуется практически везде (да и для логина в большинстве случаев), именно поэтому решение, предлагаемое мной помогает улучшить анонимность и уменьшает риски компрометации (идентификации IP, MAC-адреса) компьютера пользователя.