Comments 86
во-первых он плохо поддерживается и в последнее время там часто находят уязвимости о которых никто никуда не сообщает.
во-вторых современные веб-сервисы почты плохо или вообще не поддерживают IMAP что затрудняет работу (gmail тот же отвратительно поддерживает IMAP).
Можно конечно собрать свой, настроить сборку почты и так далее, но это уже доступно только людям, которые с одной стороны разбираются в технологиях, а с другой — им не лень.
А мы же помним — безопасность работает хорошо когда работает хорошо у большинства.
вот и получается что PGP как идея — хороша! но как реализация, увы.
Мне thunderbird нравится.
Не понимаю эту моду выпускать обновы каждую неделю — уже столько в жизни наловил багов из-за торопыжек-программистов, которые не тестят то, что кодят.
Всё должно быть в меру.
А идеального нет нигде.
не всегда thunderbird хорошее решение.
А что, есть достойные альтернативы? (Нет, веб-интерфейс это не альтернатива)
eM Client provides a very simple way of sending encrypted and signed emails. It has never been easier.
Коллеги все правильно говорят. Речь именно, что про любой клиент IMAP в связке с GMAIL. Вот я на днях попробовал Apple Mail v.13.4 — все то же самое (((( Т.к. уже плотно привязан к "гмылу", то самое оптимальное нонче — либо моб.приложение на андроиде, либо веб интерфейс. Но и там, и там реклама ((((
ГМыл, к сожалению, заточен изначально под веб- и моб- интерфейсы. Они работают идеально для своих начальных условий, но жутко медленно и UX для чего-то более сложного там просто всратый. Как только появляется необходимость в сортировке и управлении десятком тысяч писем в полусотне папок разной иерархической вложенности, без внешнего клиента не обойтись никак, а IMAP к ГМылу прикручен сбоку синей изолентой и подпёрт костылями для полу-процента гиков, которые ещё не забыли, что в мире существуют отдельные почтовые клиенты.
Наверное где-то в суровом энтерпрайзе эти все проблемы решаются, но наверняка же за невменяемые деньги.
Я раньше долгое время сидел на OutLook Express, потом на OutLook, но частичный переход на линукс всё это закончил да и проблем там своих было выше крыши.
Это одна из причин, почему я сижу на маке — на нем есть нормальный офис.
В остальном — я страдал и пользовался онлайн версией морды от корпоративного Exchange — ПОЧТИ как аутлук. И с каждым годом становится все более похоже и похоже.
Вариант — попробуй облачный офис ) там и почта тоже в комплекте. Что не пробовал — эпловскую почту (у них тоже ведь вроде есть своя почта? не клиент, а именно сервис).
Почта должна храниться локально
И в случае потери устройства теряем весь архив. Я уж лучше все равно отдам почту в облако — все равно внутренний параноик говорит, что если не шифровать почту на самом устройстве, то любой промежуточный узел имеет копию каждого почтового отправления.
Из минусов решения — веб интерфейсы почты не поддерживают использование ваших собственных сертификатов, т.е. нужен оффлайн клиент типа Тандербёрда (возможно и Бат это умеет). Мне удалось с трудом найти один довольно кривой почтовый клиент на андроиде, который мог как-то работать с такими сертификатами.
В теории мобильный аутлук поддерживает пользовательские сертификаты, но только если в качестве сервера указан корпоративный Exchange, а не традиционные IMAP / SMTP сервера. Мобильные клиенты от гугла и самсунга не поддерживают сертификаты вообще.
Среди небольшого числа моих корреспондентов я так и не нашёл того, для кого получение зашифрованной или хотя бы подписанной почты было бы важным.
Так что соглашусь с выводом автора — на данный момент, в частной жизни, если вы не особо популярная / богатая личность, это вряд ли вам потребуется.
а почему просто не заказать почтовые сертификаты у того же Let's Encrypt для почтыЭто называется S-MIME, и этот стандарт несовместим с PGP.
Это называется S-MIME, и этот стандарт несовместим с PGP.
Ну автор оригинального текста хотел зашифровать свою переписку, и S/MIME решает эту задачу IMHO ничуть не хуже, и скорее даже проще, чем описанный им разнообразный секс с PGP / GnuPG. Плюс данный метод решает вопрос доверия к сертификату, так как в описанном им варианте, сертификаты по факту самоподписанные.
А так, конечно Enigmail + GnuPG решает задачу использования самоподписанных сертификатов на порядок проще, чем в исходном посте, если принципиальны самоподписанные сертификаты и PGP
P.S. Прошу прощения, не сразу увидел что это перевод. Отредактировано.
Примерно через час и множества неудачных попыток, некоторые из которых выглядели как успешные, но не были таковыми, я наконец нашёл правильную команду:
Хм. Google по gpg generate new key выдает очень даже доходчивую доку. ЧЯДНТ?
У меня с GnuPG в комплекте поставилась Kleopatra которая позволяет делать то же самое в графическом интерфейсе.
Еще году в 2000 с помощью PGP под Винду и the bat все делалось просто и лаконично.
Прошло 20 лет. Все стало сложно.
Я окончательно понял это, когда впервые попытался применить uuencode (тут конечно отдельные претензии к тому марсианину, который придумывал её синтаксис, так что стандартное uuencode input.bin out.enc приводит к неожиданным результатам). После прочтения man'а только ещё больше запутался, а вот гуглёжка помогла сразу. Поэтому гугление всегда нужно ставить на первое место. И лишь когда полностью разобрались в работе команды, тогда уже можно отдельные ключики и по man'ам смотреть.
Я сам около 10 лет боролся с ветряными мельницами, был юн и глуп. Потом осознал, что трачу кучу времени на постоянную настройку того, что в других случаях настройки не требует вообще.
И вот судя по всему уже последние месяцы живу под линуксом, потому что когда закрою все текущие проекты на старом ПК с линуксом, благополучно соберу новый на винде.
Грустно. 10 лет потратил на то, чтобы понять, что с инструментом надо работать, а не постоянного его настраивать.
А что, если не секрет, вы все время настраивали?
Ну и приравнивание "настройки не требует вообще" к "не настраивается в принципе" тоже забавно.
Причем чем старше ОС тем больше проблем с новым софтом. Потому что он хочет либ, а их уже нет. У меня хоть и LTS, но поддержка уже кончилась. С установкой достаточно большого количества софта проблемы.
Надо бы переустановить… Но…
Пять лет назад я примерно две недели разбирался в нюансах настройки KVM + VGA PassThrough. Сейчас надо будет заново всё настраивать. Я открыл доки и понял две вещи:
1) Я ничего не помню. А значит мне опять 2 недели надо потратить на то, чтобы настроить виртуалку.
2) Мои заметки по первой настроке не имеют ценности, потому что всё уже немного изменилось и заметки устарели.
Из-за того что я не админю постоянно десяток машин — с каждой из проблем я сталкиваюсь достаточно редко. В итоге когда возникает проблема, которую я уже решал когда-то — я всё равно учусь решать её заново. потому что за прошедшие несколько лет я уже забыл как с этим вообще работать.
Ну и приравнивание «настройки не требует вообще» к «не настраивается в принципе» тоже забавно.
Где это я такое приравнивание делал?
У меня хоть и LTS, но поддержка уже кончилась
Так может, проблема в том, что вы не хотите обновляться?
Что-то не верится, что вы установите, например, XP или 7, которые тоже не поддерживаются и тоже потребуют плясок с бубнами.
любой кто заявляет что в линуксе уже всё есть в репах — врёт
Дык, откуда этому "всему" взяться, да еще свежим, если у вас уже и на LTS поддержка кончилась?
Сборка софта из исходников
Сборка сишного софта на любой платформе полна боли, линукс тут ничем не выделяется. Попробуйте собрать collectd или ipxe под виндой, например.
У остальных — где-то хуже, где-то лучше, но в целом скорее лучше на линукс — богаче инструментарий, нет прослоек.
Хотя исключения тоже есть.
Пять лет назад я примерно две недели разбирался в нюансах настройки KVM + VGA PassThrough.
Libvirt, virt-manager, vfio. Три года назад VGA PassThrough прекрасно заводилось с vfio. Раньше был pci_stub, он немного проблемный, но тоже работает.
Выяснить, какое устройство прокидывать, отредактировать параметры ядра, чтобы отдать железку драйверу vfio, в gui подтыкнуть видюшку в вашу vm. That's all.
Если, конечно, вы не пытаетесь прокинуть загрузочную видеокарту. Но тут проблемы будут у всех. Ну, кроме, разве что, винды — hyperv таким кунштюкам, кажется, все еще не научили.
И у всех придется лечить Error 43, если эта карта — nvidia.
Где это я такое приравнивание делал?
Вы не указали реальных проблем, зато подчеркнули дважды, что дюже много приходится настраивать.
Через руки каджита проходит много виндов, но он не может припомнить ни одного случая, когда можно было отдать устройство без настройки, просто прощелкав кнопки в установщике винды.
И, как подтвердил ваш следующий коммент, ваши проблемы вовсе не в "настройках"…
Так может, проблема в том, что вы не хотите обновляться?
Я не хочу обновляться, потому что не хочу опять тратить несколько недель на курение мануалов чтобы всё настроить.
Сборка сишного софта на любой платформе полна боли, линукс тут ничем не выделяется.
Вы выдаете одну проблему за другую. Вот даже интересно — вы это специально делаете? Победа в дискуссии любой ценой, даже через манипулирование фактами?
Под линукс в силу особенностей платформы множество софта просто не имеет сборки под те или иные дистрибутивы, что автоматически требует ручной сборки.
Да, под винду тоже сборка геморой. Вот только мне не надо софт под винду собирать. Он уже поставляется в собранном виде.
That's all
Это отлично выглядят когда нужно рассказать оппоненту что он идиот и неосилятор. А по факту, когда в это влезаешь — траблшутинг занимает 10 страниц плотного текста.
Нет проблем настроить, просто это требует дохрена времени, чтобы вникнуть, разобраться и сделать.
ваши проблемы вовсе не в «настройках»…
Верно. Мои проблемы в неверном выборе инструмента, на основе идиеологических причин, а не практических. О чем я и пишу — в ж*** всю эту религию и открытость, работать надо, а не многострочники учить.
Я не хочу обновляться, потому что не хочу опять тратить несколько недель на курение мануалов чтобы всё настроить.
Так это ж рекурсия, нет?
Вы выдаете одну проблему за другую.
Как можно выдать одну проблему за другую, если пока что инициатор (вы) не обозначил ни одной проблемы, ограничившись мифом про постоянную настройку, интересно? Смахивает на wishful thinking.
Да, под винду тоже сборка геморой. Вот только мне не надо софт под винду собирать. Он уже поставляется в собранном виде.
Все страньше и страньше. Речь идет об одном и том же софте, или в огороде бузина, а в Киеве дядька? И, в любом случае, о каком?
А по факту, когда в это влезаешь
И снова, речь идет о чем-то конкретном?
Каджит влез и разобрался, один раз настроил и даже не вспоминал про мифические постоянные настройки.
Теперь я понял, почему никто не шифрует свою почту. Потому что я — криворукий мудень, а умнее меня в мире никого не существует.
Серьёзно, тут уже не вопрос "что это делает на хабре?", а "что это вообще делает в интернетах?!"
Публичный ключ нужен не для расшифровки твоих сообщений, а для шифрования адресованных тебе. Дальше даже читать не стал. Смешались в кучу кони-люди.
Публичный ключ нужен не для расшифровки твоих сообщений, а для шифрования адресованных тебе.
Мне почему-то кажется что если вас попросить построить ядрёный реактор (или вообще сделать что угодно о чём вы понятия не имеете), то вам вряд-ли будет приятно если тот для кого это профессия назовёт вас "криворуким муднем" глядя на ваши жалкие попытки. Или вы супер-пурер-убер-менш который знает всё обо всём?
Сделать криптографию простой и понятной домохозяинам и садовникам — вот это достижение, а называть людей далеких от IT нехорошими словами за то что они не разбираются в области которая даже не для всех айтишников легко доступна — так себе ачивка.
Нехорошими словами называть кого угодно — по умолчанию нехорошо, тут, какбы, даже вопрос не стоит
Но проблема-то в том, что если ты не специалист в чем-то, то незазорно спросить совета, но довольно глупо советы давать
А тут мы наблюдаем просто комбо: неспециалист написал весьма сомнительную по содержанию статью, а другой человек еще и не пожалел времени оформить полноценный этой статьи перевод
Вот у вас есть друг который фитнесс-тренер, у него есть смартфон и ноутбук, он ими владеет на уровне "сходит на ютуб", "початится с кем-то" и "почитать почту", в лучшем случае что-то запостить в fb/instagram/etc, почта на гугле, с остальной техникой уровень знаний на уровне "нажать эту кнопку для того чтобы включить/выключить".
Дайте ему покурить туториалы с картинками, но не подсказывайте, посылайте в гугль. Если через хотя бы час он всё настроит — да, туториалы рулят и те кому нужно справились. Но если вы реально проведёте такой эксперимент, то скорее всего сильно удивитесь, потому что ни через час, ни даже через день шифрования у него не будет, а если сильно не повезет, то и друга у вас тоже уже не будет. Исключения конечно бывают, но они очень редки, большинство не справляется.
А реально просто — это как у ProtonMail (и аналогичных сервисов), зарегистрировался и всё, главное пароль не забыть. gnupg + thunderbird + вот это всё — это всё для технарей, или как минимум для тех кому нравится в этом копаться, но для людей далеких от техники это довольно сложно даже со всеми "простыми" туториалами и GUI.
Если условный тренер не смог поставить gpg — значит на каком-то этапе он поймет, что оно ему не сильно нужно, он жил без него и продолжит жить дальше.
Насчет автора — прокол его подруги, которая решила пересадить всех на gpg, не подумав, что чтение мануалов требует желания и возможно, решения проблем, которых не было в мануале.
Но всё равно — возникает вопрос почты на андроиде, придётся уйти от родного гмейла на какой-нибудь другой клиент.
Большинству всего этого не нужно. Ну и вообще, никому не нужно шифрования ради самого только шифрования. Кому оно надо — те разберутся.
«Я нажал какую-то кнопку на клавиатуре, но правда точно не помню какую, а потом я подождал 2 недели, но почему-то ничего не заработало. А кто-то знает что такое закрытый ключ? Может, стоит попробовать почитать что-то по теме? Через годик попробую, если так и не заработает».
В компании, на которую я работаю, десятки тысяч сотрудников по всему миру обмениваются зашифрованными имейлами. Не прикладывая ни малейших усилий! Потому что в корпоративном Outlook (Office365) всё работает из коробки. Надо лишь импортировать ключи. Но это делается полу-автоматически при первичной настройке ОС. И диски зашифрованы тоже. И телефон. Воруйте на здоровье, всё равно придётся форматировать.
На Linux немногим чуть сложнее с настройками почтовых клиентов, но и у меня и у всех моих коллег работает без проблем и Thunderbird и Evolution. Можно просто подписать ЭЦП, а можно и шифровать и читать такие письма.
Очередная статья от неосиляторов pgp. Запутались где чей ключ, man читали жопой, разницу между pgp/openpgp/gpg объяснили просто-напросто неверно, даже не попытались найти gui решения и плагины к мейл-клиенту, чего бы им за глаза хватило для их задач. Подобные статьи появляются в западных сми с такой завидной регулярностью и так похожи некоторыми чертами, что я начинаю уже верить в теорию заговора. Все как под копирку статьи в сентиментальном стиле, критикующие PGP при полном незнании софта. Обязательно упоминаются Signal и/или Protonmail. Часто авторы упоминают, что работают под маком/ios. Обязательно не к месту упоминаются Сноуден или Шнайер.
Зачем так-то всё делать?
Когда простой и в использовании и в получении и в распространении своего публичного ключа s/mime гораздо удобнее и поддерживается кучей нормальных почтовых клиентов и под win, linux, android, ios ?
1. Мало какие веб-морды поддерживают работу с s/mime из коробки (гугл умеет, майл нет). Про всякие, простите, керио коннект говорить не приходится от слова совсем. Как итог, не факт что ваше письмо прочтут на той стороне.
2. Центры сертификации. Насколько я знаю, бесплатные сертификаты есть только у комодо (и, земля им пухом, startssl) остальные за деньги. Вторая проблема, сертификаты от комодо внезапно оказалось почему-то невалидным в эксчендже.
Как итог — внутреннюю переписку можно организовать, но все что отправлялось во вне в 99% случаев заканчивалось телефонным звонком и вопрос «А че это за файл прикреплен?» (и это мы не шифрованием, а только подписями баловались).
Бесплатные сейчас у комодо только на месяц — но платные на три года стоят сущие копейки.
У меня и Thunderbird в Линукс и nine на Андроид без проблем подцепили сертификаты.
но платные на три года стоят сущие копейки.
Вот! Браузеры сокращают срок жизни сертификатов и предлагают отказываться от сертификатов >13(12) мес. Т.е. тенденция на лицо. Второе, на фоне бесплатного летс энкрипта платить за сертификаты… выглядит крайне странно.
меня и Thunderbird в Линукс и nine на Андроид без проблем подцепили сертификаты.У меня в TB тоже проблем не возникло, но вот письма в The Bat открывались с ошибкой, потому что по умолчанию у них выбраны свои (неведомо какие) ЦС, а не стандартные системные ЦС. И на свои почтовые клиенты вы повлиять можете, а вот на чужие — нет. Вы же не будете звонить контрагентам и просить их ползать по настройкам и менять ЦС? Gmail и Outlook на андройде год назад не поддерживали s/mime.
В общем, не для корпоративного использования все это.
Шифрование и дешифровка электронной почты, как у меня с GnuPG, просто слишком утомительны. Поскольку я уже потратил на это слишком много усилий, то продолжу использовать её для общения со своей онлайн-знакомой. Но я бы не рекомендовал обычному человеку использовать GnuPG для шифрования электронной почты, если этого можно избежать.
Да, с GnuPG достаточно много мороки. Это я почувствовал, когда прикручивал ГОСТ-овую криптографию.
Но если вы используете, например, Thunderbird с хранилищем сертификатов на базе NSS, то никаких проблем нет. Обменяйтесь своими сертификатами (например, обменяйтесь подписанными письмами) и шифруйте свои письма.
Зачем вам импортировать ключ, если вы не считаете, что он пришёл от нужного человека?Например, на основе GnuPG основана проверка подлинности пакетов во многих дистрибутивах, вроде Debian и Arch, и для программ в сторонних репозиториях нужно импортировать ключ автора пакета. Подписывать его при этом не нужно.
Я импортировал открытый ключ своей знакомой с помощью этой команды:
Вы ставили GnuPG (GUI, например kleopatra, вы не заметили?).
Двойной клик ЛКМ по ключу (по файлу) и он импортирован (прямо как .mp3 песню запустить).
Затем подписал её открытый ключ:
GUI kleopatra. ПКМ на ключе --> заверить. (никаких команд).
Каждый открытый ключ должен быть подписан, прежде чем сообщения от владельца этого открытого ключа можно будет расшифровать. По-моему, этот шаг не имеет никакого смысла
Не имеет смысла для вас, потому что вы не разобрались с элементарными принципами работы симметричного/асимметричное шифрования.
Вы удостоверяете публичный ключ подруги не для того, чтобы расшифровывать ее сообщения, а для того, чтобы проверять, что сообщения (и последующие) действительно принадлежат ей и они «неиспорчены»,
А отправляя ей свое сообщение, шифруете ее же публичным ключом это сообщение. Вот для чего это нужно.
Затем я попытался сгенерировать свои ключи:
выскочило сообщение об ошибке
Опять же в GUI два клика и пары ключей (алгоритм) на выбор готовы.
Открытый ключ нужно отправить каждому, кому вы отправляете зашифрованное письмо, чтобы он мог его расшифровать
См. выше, вы не понимаете базовый принцип: вы отправляете открытый ключ, чтобы подруга шифровала любые данные для вас (у вас закрытый ключ и вы расшифруете, то, что она зашифровала), а не наоборот.
К этому моменту я уже начал испытывать некоторое раздражение.
Как и я от ваших нелепых претензий.
Весь процесс от начала до конца занял больше месяца! Я всё ещё пытаюсь автоматизировать команды GnuPG, чтобы использовать их, не слишком сильно задумываясь о том, что я делаю.
Мне кажется вашу статью не нужно было публиковать в паблике «криптография».
Публикация принижает вас, потому что не осилить документацию, которая расписана на всех человеческих языках для новичков, и написать об этому публично — это позор.
UPD: только сейчас заметил, статья перевод — троллинг.
Ок.
Открытый ключ нужно отправить каждому, кому вы отправляете зашифрованное письмо, чтобы он мог его расшифровать
См. выше, вы не понимаете базовый принцип: вы отправляете открытый ключ, чтобы подруга шифровала любые данные для вас (у вас закрытый ключ и вы расшифруете, то, что она зашифровала), а не наоборот.
Вы правы, но только частично: открытый ключ ещё пригодится для проверки цифровой подписи, чтобы убедиться что зашифровал сообщение именно обладатель соответствующей пары (открытого и закрытого ключей)
Смешно читать мучения иностранного ИТ-ника. Это обычная работа по протоколу SEX )))
Такое случается в каждом новом проекте, где делаешь что-то, с чем никогда не сталкивался.
На 10й раз уже вырабатывается собственная техническая психология. На 1000раз уже полный игнор.
Никто не шифрует почту, потому что это имеет смысл только для обмена секретными текстами (не файлами) с постоянным адресатом, причём по не слишком надёжным каналам — довольно редкий случай.
P.S. Посмотрел исходную статью — глаза вытекли. В 2020-м кто-то умудрился сделать сайт в стиле 2000-х, не хватало только информеров и надписи Hosted by Angeffire или Geocities! Я не удивлён, что такой человек написал всё это.
В 2020-м кто-то умудрился сделать сайт в стиле 2000-хБудто что-то плохое. Уж всяко лучше современного поноса на реактоангулярах с белым фоном, исчезающим спустя N секунд после открытия страницы, колонкой с содержимым в четверть ширины экрана, сообщениями о куках и просьбой подписаться на рассылку в половину вертикального пространства, и прочими радостями современного веба.
Если нужен веб интерфейс, то rainloop прозрачно работает с gpg, а у roundcube надо прикрутить плагин.
Теперь я понял, почему почти никто не шифрует свою почту