Комментарии 26
Несколько повысить уровень защиты вашей почты «от дурака» может шифрование текста письма и вложения (их также можно поместить в архив с паролем, например, если сам текст не содержит конфиденциальных данных, а архив — содержит). В этом случае можно использовать специальное программное обеспечение.
Кроме плагинов для браузера, в котором вы открываете почту, существует приложение для десктопных клиентов, которое также может использоваться и с онлайновыми почтовыми сервисами — PGP (Pretty Good Privacy). Метод хорош, так как использует два ключа шифрования – открытый и закрытый. А также можно использовать целый ряд программ как для шифрования данных, так и для шифрования текста письма: DriveCrypt, Gpg4win, Gpg4usb, Comodo SecureEmail и другие.
Помните, что большинство «сливов» информации происходят по вине отнюдь не хакеров, а «человеческого фактора». Вам вполне может быть достаточно использовать сложные пароли, регулярно их менять и не допускать их утраты. Следует не забывать закрывать свои сессии на чужих компьютерах, не пользоваться незащищенными соединениями при работе через Wi-Fi в общественных местах, установить галочки в настройках почтового ящика «запомнить мой IP адрес», «отслеживать IP адреса, с которых открывались сессии», «не допускать параллельных сессий».
Вы точно на ИТ-ресурс пишете? Думаю, здесь мало кого испугаешь словами PGP и Gpg4win. Ну и за советы использовать сложные пароли и закрывать сессии на чужих компьютерах спасибо. Сам бы не догадался.
Например, с паролями люди косячить, видимо, не перестанут никогда — напоминай не напоминай. Считаю, что статья по данной теме без этого момента была бы неполной — читать её могут не только ИТ-специалисты, даже здесь.
> Это говорит об использовании протоколов шифрования SSL и StarTLS, которые обеспечивают безопасное «путешествие» письма из окна браузера до почтового сервера. Вместе с тем это ничего не даёт в связи с новым СОРМ, который вступает в действие с 1 июля 2014 года.
А можно немного деталей вот по этому пункту?
А можно немного деталей вот по этому пункту?
Если «они» теперь все записывают, то, теоретически, по решению суда они могут у гугла взять твои ключи и расшифровать письмо. Более того, учитывая как работают наши правоохранители, возможно что даже и без решения суда. Просто тупо оборотни в погонах, промышленный шпионаж.
С технической точки зрения моё утверждение, соглашусь, несколько спорно — потому что https конечно, теоретически, можно прочитать, но явно понадобится не опер с планшетом.
С технической точки зрения моё утверждение, соглашусь, несколько спорно — потому что https конечно, теоретически, можно прочитать, но явно понадобится не опер с планшетом.
Я про SSL, и его «бесполезность» всвязи с новым СОРМ.
Для этого нужно, как минимум, либо получить от Гугла их SSL сертификат, для осуществления MitM, либо логирование трафика, его анализ и взлом протокола. Оба варианта, как мне кажется, что-то из области научной фантастики…
Ну еще, в принципе, можно и конечному клиенту внедрить бяку на комп (и тут мне, почему-то, вспомнился браузер от Яндекса).
Для этого нужно, как минимум, либо получить от Гугла их SSL сертификат, для осуществления MitM, либо логирование трафика, его анализ и взлом протокола. Оба варианта, как мне кажется, что-то из области научной фантастики…
Ну еще, в принципе, можно и конечному клиенту внедрить бяку на комп (и тут мне, почему-то, вспомнился браузер от Яндекса).
Трудно не согласиться. Однако если, пусть даже призрачная, такая возможность есть — считаю, нужно об этом сказать. Прецедентов не было, чтобы по решению суда у гугла получали эту информацию — пока что.
Я вижу процесс так: когда ты отправляешь письмо по безопасному соединению, то между двумя точками: твой комп, почтовый сервак — невозможно ничего прочитать, все зашифровано. В самом гмыле я надеюсь, они их хранят тоже в шифрованном виде. И, соответственно, когда ты или тот, кому ты послал письмо, читаешь его по безопасному соединению, то между теми же двумя точками письмо перемещается в шифрованном виде. Так что СОРМ может влезть только если им сам гугл даст свой ключ для шифрования вот что, к счастью, мало верится. Это мое видение процесса. Хотя, скорее всего — в гугле для каждого пользователя есть отдельный ключ, и по запросу органов они могут только твой ключ дать полиции или фсб, и вот тогда имея ключ и шифрованное письмо можно его расшифровать.
Я вижу процесс так: когда ты отправляешь письмо по безопасному соединению, то между двумя точками: твой комп, почтовый сервак — невозможно ничего прочитать, все зашифровано. В самом гмыле я надеюсь, они их хранят тоже в шифрованном виде. И, соответственно, когда ты или тот, кому ты послал письмо, читаешь его по безопасному соединению, то между теми же двумя точками письмо перемещается в шифрованном виде. Так что СОРМ может влезть только если им сам гугл даст свой ключ для шифрования вот что, к счастью, мало верится. Это мое видение процесса. Хотя, скорее всего — в гугле для каждого пользователя есть отдельный ключ, и по запросу органов они могут только твой ключ дать полиции или фсб, и вот тогда имея ключ и шифрованное письмо можно его расшифровать.
Ключ вообще не для каждого пользователя, а для каждого SSL-соединения. И вряд ли гугл хранит ключи от соединений, которые уже закрыты.
В моем понимании для поднятия SSL используется асимметричное шифрование а вот уже «внутри» симметричное, так что хранить ключи закрытых сессий не надо, если ты достанешь ключи асимметричного шифрования, то симметричные ты уже из расшифрованного дампа должен достать(они сеансовые).
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Мне кажется, что не совсем верно.
Имея приватный ключ сервера можно расшифровать хендшейк и из него получить ключ сессии и расшифровать сообщение. При использовании PFS придется отдельно расшифровывать каждое сообщение, но не более того.
Если же приватного ключа сервера нет и используется PFS, придется подбирать ключи для всех сообщений, что увеличивает стоимость операции в разы. Вероятнее всего за это время актуальность информации потеряется.
Имея приватный ключ сервера можно расшифровать хендшейк и из него получить ключ сессии и расшифровать сообщение. При использовании PFS придется отдельно расшифровывать каждое сообщение, но не более того.
Если же приватного ключа сервера нет и используется PFS, придется подбирать ключи для всех сообщений, что увеличивает стоимость операции в разы. Вероятнее всего за это время актуальность информации потеряется.
Кстате название протокола — TLS (Transport Layer Security)
А команда протокола StartTLS («начать TLS», а не «звездный TLS»)
en.wikipedia.org/wiki/STARTTLS
А команда протокола StartTLS («начать TLS», а не «звездный TLS»)
en.wikipedia.org/wiki/STARTTLS
Без упоминания S-MIME статья выглядит неполной
Спасибо!
Паранойя во мне говорит, что все, что подключено к сети и использует какой-то софт широкого назначения, по умолчанию заражено.
Откуда мне знать, что нажатия кнопок не передаются куда-то еще до того, как я начну что-то шифровать?
Откуда мне знать, что нажатия кнопок не передаются куда-то еще до того, как я начну что-то шифровать?
При использовании корпоративной почты переписка защищается силами IT-службы, которые могут установить очень строгий Firewall. И, тем не менее, это тоже не спасёт, если недобросовестный сотрудник «сольёт» информацию. Речь идет не обязательно о системном администраторе – злоумышленнику достаточно оказаться «внутри» корпоративной сети: если он настроен серьезно, остальное – дело техники.
Не подскажите, как «технично» взломать Microsoft Exchange Server 2010 на котором стоят все последние апдейты? Очень интересует техника взлома, ага :D и я думаю не мне одному лол.
Возможно, не совсем в тему, но полностью зашифрованный и анонимный IM, которым было бы удобно пользоваться, уже есть и называется torchat. В e-mail можно обменяться логинами от torchat, а всю важную информацию, включая документы, передавать через него. Безопасники, обрезающие сотрудникам Tor, будут в ужасе, но зато никакие конкуренты на канале не засядут и из почтовика информацию не достанут.
Как ни печально, продвинутая техника шифрования, как бы легка в использовании и красива она ни была, не спасёт, если, например, в вашем компьютере поселят backdoor, который делает снимки экрана и отправляет их в сеть. Поэтому лучший способ шифрования – не писать писем. Девиз «Надо чаще встречаться» приобретает в этом контексте новое звучание.
Если Вы совсем параноик — создаёте специальную виртуальную машину, с которой будете писать письма. Настраиваете правило файерволла на реальной машине, запрещающее этой виртуалке доступ куда-либо, окромя IP мыльного сервера. Дублируете его на роутере. Возвращаете машинку к снапшоту после использования.
Правда, это Вас не спасёт в случае:
1. Зловред повысит привелегии с виртуальной машины на реальную (которая лучше бы должна быть на линуксе) и отменит правила файерволла. Потом пролезет на роутер, похакает его и там тоже правила поменяет. Потом похакает весь интернет через Вас — чего уж там мелочиться в фантазиях.
2. От человека, который стоит за плечом и подсматривает за Вами в подзорную трубу. Так что пишите письма из тёмного подвала. Правда, есть видеокамеры, которые умеют снимать в ночи. Поэтому понадобится ещё и охрана — нанятые Вами люди, которые будут этот подвал проверять на электронные жучки.
3. В случае использования против Вас Терморектальный криптоанализатора
P.S. Почитайте на досуге Защита информации от несанкционированного доступа в современных компьютерных системах. В частности, обратите внимание, что задача защиты — в том, чтобы атакующему было экономически не выгодно производить атаку, обходя обустроенную защиту информации. А не в том, чтобы это было в принципе невозможно. Ибо такого никогда не будет в силу теоремы о бесконечных обезьянах.
А когда освоите это — поинтересуйтесь на тему модели злоумышленника. Может, прозреете
Как ни печально, продвинутая техника шифрования, как бы легка в использовании и красива она ни была, не спасёт, если, например, в вашем компьютере поселят backdoor, который делает снимки экрана и отправляет их в сеть.
Поселите бекдор в мою убунту…
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как шифровать сообщения по e-mail и станет ли от этого «безопасней»