Comments 26
Несколько повысить уровень защиты вашей почты «от дурака» может шифрование текста письма и вложения (их также можно поместить в архив с паролем, например, если сам текст не содержит конфиденциальных данных, а архив — содержит). В этом случае можно использовать специальное программное обеспечение.
Кроме плагинов для браузера, в котором вы открываете почту, существует приложение для десктопных клиентов, которое также может использоваться и с онлайновыми почтовыми сервисами — PGP (Pretty Good Privacy). Метод хорош, так как использует два ключа шифрования – открытый и закрытый. А также можно использовать целый ряд программ как для шифрования данных, так и для шифрования текста письма: DriveCrypt, Gpg4win, Gpg4usb, Comodo SecureEmail и другие.
Помните, что большинство «сливов» информации происходят по вине отнюдь не хакеров, а «человеческого фактора». Вам вполне может быть достаточно использовать сложные пароли, регулярно их менять и не допускать их утраты. Следует не забывать закрывать свои сессии на чужих компьютерах, не пользоваться незащищенными соединениями при работе через Wi-Fi в общественных местах, установить галочки в настройках почтового ящика «запомнить мой IP адрес», «отслеживать IP адреса, с которых открывались сессии», «не допускать параллельных сессий».
Вы точно на ИТ-ресурс пишете? Думаю, здесь мало кого испугаешь словами PGP и Gpg4win. Ну и за советы использовать сложные пароли и закрывать сессии на чужих компьютерах спасибо. Сам бы не догадался.
Например, с паролями люди косячить, видимо, не перестанут никогда — напоминай не напоминай. Считаю, что статья по данной теме без этого момента была бы неполной — читать её могут не только ИТ-специалисты, даже здесь.
> Это говорит об использовании протоколов шифрования SSL и StarTLS, которые обеспечивают безопасное «путешествие» письма из окна браузера до почтового сервера. Вместе с тем это ничего не даёт в связи с новым СОРМ, который вступает в действие с 1 июля 2014 года.
А можно немного деталей вот по этому пункту?
А можно немного деталей вот по этому пункту?
Если «они» теперь все записывают, то, теоретически, по решению суда они могут у гугла взять твои ключи и расшифровать письмо. Более того, учитывая как работают наши правоохранители, возможно что даже и без решения суда. Просто тупо оборотни в погонах, промышленный шпионаж.
С технической точки зрения моё утверждение, соглашусь, несколько спорно — потому что https конечно, теоретически, можно прочитать, но явно понадобится не опер с планшетом.
С технической точки зрения моё утверждение, соглашусь, несколько спорно — потому что https конечно, теоретически, можно прочитать, но явно понадобится не опер с планшетом.
Я про SSL, и его «бесполезность» всвязи с новым СОРМ.
Для этого нужно, как минимум, либо получить от Гугла их SSL сертификат, для осуществления MitM, либо логирование трафика, его анализ и взлом протокола. Оба варианта, как мне кажется, что-то из области научной фантастики…
Ну еще, в принципе, можно и конечному клиенту внедрить бяку на комп (и тут мне, почему-то, вспомнился браузер от Яндекса).
Для этого нужно, как минимум, либо получить от Гугла их SSL сертификат, для осуществления MitM, либо логирование трафика, его анализ и взлом протокола. Оба варианта, как мне кажется, что-то из области научной фантастики…
Ну еще, в принципе, можно и конечному клиенту внедрить бяку на комп (и тут мне, почему-то, вспомнился браузер от Яндекса).
Трудно не согласиться. Однако если, пусть даже призрачная, такая возможность есть — считаю, нужно об этом сказать. Прецедентов не было, чтобы по решению суда у гугла получали эту информацию — пока что.
Я вижу процесс так: когда ты отправляешь письмо по безопасному соединению, то между двумя точками: твой комп, почтовый сервак — невозможно ничего прочитать, все зашифровано. В самом гмыле я надеюсь, они их хранят тоже в шифрованном виде. И, соответственно, когда ты или тот, кому ты послал письмо, читаешь его по безопасному соединению, то между теми же двумя точками письмо перемещается в шифрованном виде. Так что СОРМ может влезть только если им сам гугл даст свой ключ для шифрования вот что, к счастью, мало верится. Это мое видение процесса. Хотя, скорее всего — в гугле для каждого пользователя есть отдельный ключ, и по запросу органов они могут только твой ключ дать полиции или фсб, и вот тогда имея ключ и шифрованное письмо можно его расшифровать.
Я вижу процесс так: когда ты отправляешь письмо по безопасному соединению, то между двумя точками: твой комп, почтовый сервак — невозможно ничего прочитать, все зашифровано. В самом гмыле я надеюсь, они их хранят тоже в шифрованном виде. И, соответственно, когда ты или тот, кому ты послал письмо, читаешь его по безопасному соединению, то между теми же двумя точками письмо перемещается в шифрованном виде. Так что СОРМ может влезть только если им сам гугл даст свой ключ для шифрования вот что, к счастью, мало верится. Это мое видение процесса. Хотя, скорее всего — в гугле для каждого пользователя есть отдельный ключ, и по запросу органов они могут только твой ключ дать полиции или фсб, и вот тогда имея ключ и шифрованное письмо можно его расшифровать.
Ключ вообще не для каждого пользователя, а для каждого SSL-соединения. И вряд ли гугл хранит ключи от соединений, которые уже закрыты.
В моем понимании для поднятия SSL используется асимметричное шифрование а вот уже «внутри» симметричное, так что хранить ключи закрытых сессий не надо, если ты достанешь ключи асимметричного шифрования, то симметричные ты уже из расшифрованного дампа должен достать(они сеансовые).
UFO just landed and posted this here
UFO just landed and posted this here
Мне кажется, что не совсем верно.
Имея приватный ключ сервера можно расшифровать хендшейк и из него получить ключ сессии и расшифровать сообщение. При использовании PFS придется отдельно расшифровывать каждое сообщение, но не более того.
Если же приватного ключа сервера нет и используется PFS, придется подбирать ключи для всех сообщений, что увеличивает стоимость операции в разы. Вероятнее всего за это время актуальность информации потеряется.
Имея приватный ключ сервера можно расшифровать хендшейк и из него получить ключ сессии и расшифровать сообщение. При использовании PFS придется отдельно расшифровывать каждое сообщение, но не более того.
Если же приватного ключа сервера нет и используется PFS, придется подбирать ключи для всех сообщений, что увеличивает стоимость операции в разы. Вероятнее всего за это время актуальность информации потеряется.
Кстате название протокола — TLS (Transport Layer Security)
А команда протокола StartTLS («начать TLS», а не «звездный TLS»)
en.wikipedia.org/wiki/STARTTLS
А команда протокола StartTLS («начать TLS», а не «звездный TLS»)
en.wikipedia.org/wiki/STARTTLS
Без упоминания S-MIME статья выглядит неполной
Спасибо!
Паранойя во мне говорит, что все, что подключено к сети и использует какой-то софт широкого назначения, по умолчанию заражено.
Откуда мне знать, что нажатия кнопок не передаются куда-то еще до того, как я начну что-то шифровать?
Откуда мне знать, что нажатия кнопок не передаются куда-то еще до того, как я начну что-то шифровать?
При использовании корпоративной почты переписка защищается силами IT-службы, которые могут установить очень строгий Firewall. И, тем не менее, это тоже не спасёт, если недобросовестный сотрудник «сольёт» информацию. Речь идет не обязательно о системном администраторе – злоумышленнику достаточно оказаться «внутри» корпоративной сети: если он настроен серьезно, остальное – дело техники.
Не подскажите, как «технично» взломать Microsoft Exchange Server 2010 на котором стоят все последние апдейты? Очень интересует техника взлома, ага :D и я думаю не мне одному лол.
Возможно, не совсем в тему, но полностью зашифрованный и анонимный IM, которым было бы удобно пользоваться, уже есть и называется torchat. В e-mail можно обменяться логинами от torchat, а всю важную информацию, включая документы, передавать через него. Безопасники, обрезающие сотрудникам Tor, будут в ужасе, но зато никакие конкуренты на канале не засядут и из почтовика информацию не достанут.
Как ни печально, продвинутая техника шифрования, как бы легка в использовании и красива она ни была, не спасёт, если, например, в вашем компьютере поселят backdoor, который делает снимки экрана и отправляет их в сеть. Поэтому лучший способ шифрования – не писать писем. Девиз «Надо чаще встречаться» приобретает в этом контексте новое звучание.
Если Вы совсем параноик — создаёте специальную виртуальную машину, с которой будете писать письма. Настраиваете правило файерволла на реальной машине, запрещающее этой виртуалке доступ куда-либо, окромя IP мыльного сервера. Дублируете его на роутере. Возвращаете машинку к снапшоту после использования.
Правда, это Вас не спасёт в случае:
1. Зловред повысит привелегии с виртуальной машины на реальную (которая лучше бы должна быть на линуксе) и отменит правила файерволла. Потом пролезет на роутер, похакает его и там тоже правила поменяет. Потом похакает весь интернет через Вас — чего уж там мелочиться в фантазиях.
2. От человека, который стоит за плечом и подсматривает за Вами в подзорную трубу. Так что пишите письма из тёмного подвала. Правда, есть видеокамеры, которые умеют снимать в ночи. Поэтому понадобится ещё и охрана — нанятые Вами люди, которые будут этот подвал проверять на электронные жучки.
3. В случае использования против Вас Терморектальный криптоанализатора
P.S. Почитайте на досуге Защита информации от несанкционированного доступа в современных компьютерных системах. В частности, обратите внимание, что задача защиты — в том, чтобы атакующему было экономически не выгодно производить атаку, обходя обустроенную защиту информации. А не в том, чтобы это было в принципе невозможно. Ибо такого никогда не будет в силу теоремы о бесконечных обезьянах.
А когда освоите это — поинтересуйтесь на тему модели злоумышленника. Может, прозреете
Как ни печально, продвинутая техника шифрования, как бы легка в использовании и красива она ни была, не спасёт, если, например, в вашем компьютере поселят backdoor, который делает снимки экрана и отправляет их в сеть.
Поселите бекдор в мою убунту…
Sign up to leave a comment.
Как шифровать сообщения по e-mail и станет ли от этого «безопасней»