Scramble, come cifrare le mail a prova di Nsa.

Parliamo qui dei rootkit hypervisor-level, ma anche di quale piattaforma mobile preferire o delle ripercussioni di Facebook sulla nostra privacy.
Regole del forum
Rispondi
[Claudio]

Scramble, come cifrare le mail a prova di Nsa.

Messaggio da [Claudio] »

Sembra interessante: clicca qui.
Servizio di webmail cifrato sviluppato da un ricercatore della Stanford University, Daniel Posch. L’idea è di garantire la stessa protezione di un client blindato con PGP (Pretty Good Privacy), il programma di crittografia più noto, ma con la comodità (a cui da anni tutti noi siamo abituati) di una mail accessibile via browser. Come funziona? Il suo software invia agli utenti del codice Javascript che esegue la cifratura dei messaggi nel browser: in questo modo il server non conosce la chiave segreta necessaria per leggere le comunicazioni. Uno dei punti deboli di questo approccio, simile a quello usato anche da Hushmail, un altro provider di webmail sicura e cifrata (almeno finché non è emerso che il governo Usa ha cercato di ottenere informazioni dallo stesso), è che l’azienda che fornisce il servizio, magari obbligata da un tribunale o una agenzia statale, potrebbe modificare il codice Javascript aprendo una vulnerabilità nel sistema. Per ovviare a questo rischio Scramble – che già funziona me è ancora sperimentale e quindi è sconsigliato usarlo già ora per comunicazioni sensibili – sta lavorando a un plug-in per Chrome che dovrebbe gestire la crittografia e ostacolare manomissioni.
Il sistema ideato da Posch ha anche altre specificità: come indirizzo mail utilizza l’ hash (l’impronta digitale) della chiave pubblica dell’utente. Per capirci l’indirizzo mail diventa una sequenza di lettere e numeri, così: nqkgpx6bqscslher@scramble.io (questa è la mail di Posch). Non proprio facile da memorizzare, per cui diventa vitale la rubrica degli indirizzi. Che a sua volta viene cifrata dal server e scaricata ogni volta che l’utente fa il log in, per essere poi decrittata nel browser, modificata e inviata di nuovo al server cifrata. In questo modo, oltre a essere segreti il testo e l’oggetto della mail, restano anonimi anche il mittente e il destinatario.
Altro aspetto interessante di Scramble è che si possono comunque scambiare mail con utenti che non usano il servizio. In tal caso i messaggi sono inviati in chiaro; quelli in arrivo sono comunque criptati e archiviati.

System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Scramble, come cifrare le mail a prova di Nsa.

Messaggio da System » sab set 07, 2013 1:22 pm


[Claudio]

Re: Scramble, come cifrare le mail a prova di Nsa.

Messaggio da [Claudio] »

Interfaccia grafica ..... decisamente minimalista :fiu

Immagine

Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: Scramble, come cifrare le mail a prova di Nsa.

Messaggio da hashcat »

[Claudio] ha scritto:Il sistema ideato da Posch ha anche altre specificità: come indirizzo mail utilizza l’ hash (l’impronta digitale) della chiave pubblica dell’utente. Per capirci l’indirizzo mail diventa una sequenza di lettere e numeri, così: nqkgpx6bqscslher@scramble.io (questa è la mail di Posch). Non proprio facile da memorizzare, per cui diventa vitale la rubrica degli indirizzi. Che a sua volta viene cifrata dal server e scaricata ogni volta che l’utente fa il log in, per essere poi decrittata nel browser, modificata e inviata di nuovo al server cifrata. In questo modo, oltre a essere segreti il testo e l’oggetto della mail, restano anonimi anche il mittente e il destinatario.
Stratagemma interessante per cercare di scorrelare le informazioni sul mittente e destinatario dalla loro reale identità.
[Claudio] ha scritto:si possono comunque scambiare mail con utenti che non usano il servizio. In tal caso i messaggi sono inviati in chiaro; quelli in arrivo sono comunque criptati e archiviati.
E' proprio questo il punto debole di buona parte dei servizi di e-mail "sicura" (web based): le mail che sono trasmesse in chiaro (inviate o ricevute) sono poi cifrate utilizzando una chiave che non è di proprietà dell'utente (onore al merito: scramble.io cifra con la chiave pubblica dell'utente) e, con un'ordinanza del tribunale, il servizio può essere obbligato a fornire quella chiave, ottenendo l'accesso ai messaggi in plain text memorizzati sulla casella dell'utente.
Senza contare che non utilizzando sistemi di crittografia, il testo delle e-mail è facilmente ricavabile intercettando il traffico di rete (per la maggior parte dei provider durante le operazioni di di invio del messaggio e-mail ad altri provider (a volte anche verso lo stesso dominio), viene utilizzata una connessione in chiaro.
Un'altra soluzione ugualmente "comoda" è quella di accedere "direttamente" ai dati memorizzati nell'account dell'utente che non utilizza il servizio; cosa senz'altro possibile alla NSA (e provata). Maggiori informazioni XKeyscore.

P.S.: Comunicando con un utente che non usufruisce del servizio, si perde anche la funzione di "offuscazione dell'indirizzo e-mail".
P.S.2: I metadati delle e-mail, anche quando cifrate, sono comunque in chiaro (fra cui l'IP dell'utente).
P.S.3: Se ho compreso bene come funziona il servizio, non è possibile inviare e-mail crittografate con PGP ad un destinatario che non sia anch'esso iscritto al servizio.

Se proprio devo utilizzare un servizio di crittografia PGP "in browser", opterei per Mailvelope. L'unica pecca è che, al momento, sono supportati solo Google Chrome e Firefox (quest'ultimo in stato ALPHA).

;)
“The quieter you become, the more you can hear”

Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: Scramble, come cifrare le mail a prova di Nsa.

Messaggio da hashcat »

@[Claudio]

Nello screenshot postato è visibile il tuo indirizzo (@scramble.io) segreto, se fossi in te, lo oscurerei.

;)
“The quieter you become, the more you can hear”

System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Re: Scramble, come cifrare le mail a prova di Nsa.

Messaggio da System » mar set 10, 2013 3:41 pm


Rispondi
  • Argomenti simili
    Risposte
    Visite
    Ultimo messaggio