Żyjemy w czasach, w których wysłanie mejla jest jak krzyczenie przez okno – mnóstwo osób może to podsłuchać. Warto pamiętać, że Enigma została wdrożona do produkcji pierwotnie w celach komercyjnych a nie wojskowych. Przedsiębiorcy nie chcieli, aby ich korespondencja telegraficzna była podsłuchana. Dopiero wiele lat później rozwiązanie trafiło do niemieckiej armii.
W zabezpieczaniu korespondencji nie chodzi o to, że rozmówcy planują zamach terrorystyczny czy ustalają ceny nerek. Podobnie jak z bitcoinem – używanie go w celach zakupu narkotyków jest sporadyczne. Takie tłumaczenia są szeroko stosowane przez służby chcące kontrolować każdy aspekt życia i chcące opodatkować każdy przejaw działalności gospodarczej.
Naiwnością jest twierdzenie, że wiedza uzyskana poprzez inwigilację obywateli jest wykorzystywana w celach służbowych. Snowden szeroko opisywał przesyłanie sobie co fajniejszych gołych fotek wyłapanych z mejli czy też inwigilowanie osób znanych prywatnie przez agentów.
Co gorsza, wiedza pozyskana w drodze inwigilacji elektronicznej ma znaczenie ekonomiczne. Agenci mają swoje pomysły na biznesy, mogą się szkolić na materiałach konkurencji. A że wszystko na planecie ma swoją cenę to wcale nie niemożliwe jest pozyskiwanie przez konkurencję materiałów wykradzionych przez pracowników rządowych. Nie bez znaczenia jest również wywiad gospodarczy, czyli przejęcie ważnych informacji przez agentów wrogich państw.
W korespondencji z moimi klientami zawsze proponuję używanie PGP. Wdrożenie było bardzo proste i w moim przypadku polegało na zainstalowaniu dodatku do klienta poczty Thunderbird.
Dla osób nie chcących dokonać nawet i takiego wysiłku opracowano serwis Privnote. Szyfrowanie polega na napisaniu wiadomości i kliknięciu “Create note”. Wiadomość jest szyfrowana i tworzony jest link. Odbiorcy przesyła się ten link – kliknięcie w niego deszyfruje i wyświetla wiadomość, ale tylko raz. Potem wiadomości nie da się już odszyfrować i wyświetlić. Warto pobawić się tym rozwiązaniem.
14 replies on “Poufność korespondencji, czyli kuchenna kryptografia”
Inwigilowanie obywateli ma miejsce już na całym świecie, w każdym kraju. Najgorsze jest to, że odpowiednie służby są w stanie również dojść do informacji dotyczących naszego majątku. Jest na to jednak rozwiązanie. Za kilkaset euro rocznie można kupić sobie odrobinę prywatności, której nikt nas nie pozbawi. Mianowicie chodzi mi o anonimowe skrytki depozytowe. Wystarczy tylko klucz i hasło, które będzie znać tylko jedna osoba na świecie – właściciel skrzynki. Dla zainteresowanych inwestorów polecam http://slomski.us
podobno super bezpiecznym serwisem do korespondencji email jest ProtonMail, zainteresowanie jest tak duże, że zapełniły im się serwery i trzeba czekać na założenie konta e-mail…
ale jak się spojrzy na to, kto ugiął się przed NSA i rządem USA, w kwestii prywatności czy tajemnicy korespondencji lub bankowej, to jest problem, czy twórcy tych serwisów będą wystarczająco “nieugięci”. a druga sprawa, to tak na prawdę nie wiadomo, kto tworzy te serwisy i jakie są jego prawdziwe intencje – zwykle są to mało znane osoby czy firmy i przeciętny użytkownik nie ma najmniejszych szans na zweryfikowanie ich uczciwości…
mimo tego, czekam na możliwość założenia konta na ProtonMail 🙂
Dobrze, ze informujesz o takich sprawach, ale jest blad w linku o Enigmie.
A co na Outlooka?
http://lmgtfy.com/?q=outlook+pgp ;))
I Jak tam było na Burning Manie? W ile osób dotarliście?
Jestem w “internetach” od początku lat 90-tych, i rzeczywiście PGP było na początku szokiem dla służb, jednak potem backdoor został wymuszony na autorze PGP. Nie znajdę linków do newsów sprzed lat, ale proszę rozważyć, możliwość że PGP został przejęty i jest przeźroczysty dla służb, i tylko teściowa nie da mu rady.
Swoją drogą, ciekawostką jest, że wiele dystrybucji linuxa podpisało lojalkę z rządem USA, między innymi Ubuntu…
Nie pamiętam linku, może ktoś znajdzie, porozumienie to ma jakąś nazwę i gdzieś na wikipedii jest lista dystrybucji które to podpisały.
Ciekawe rozwiązanie ten Privnote. Wiadomość można oczytać z linku tylko raz. Czyli jak ktoś nie może odczytać wiadomości z linku przy pierwszym swoim odczycie to znak, że ktoś przegląda jego maile i pierszy wszedł na link. Dobry sposób na sprawdzenie czy jesteśmy inwigilowani.
Lepszym rozwiązaniem wydaje mi się taki link https://www.igolder.com/pgp/encryption .
Trzeba sobie wygenerować klucz publiczny i prywatny. Publiczny klucz wysyłamy mailami do wszystkich znajomych, którzy chcieliby do nas przesłać zaszyfrowaną wiadomość oraz link do iglodera pgp. Osoba chcąca przesłać zaszyfrowaną do nas wiadomość wchodzi na link igoldera, wkleja nasz publiczny klucz i wpisuje swoją wiadmość, po czym zwrotnie otrzyma zaszyfrowany tekst, który już tylko metodą kopiuj wklej wysyła się zwykłym mailem do nas. My po otrzymaniu maila robimy podobny myk na stronie igolder – kopiuj wkej tekst zaszyfrowany + nasz klucz prywatny i za chwilę widzimy odszyfrowaną wiadomość. Przy tej metodzie można korzystać nawet z gmaila i każdej innej skrzynki obsługiwanej przez przeglądarkę www.
Privnote jawi mi się jako kpina z poufności, a nie prawdziwa poufność. Przykład:
1) Przemysław Słomski tworzy wiadomość dla kontrahenta i wysyła mu mailem link – powiedzmy obrazowo:
https://privnote.com/#abcd
2) Operator serwera pocztowego wczytuje link, odczytuje treść wiadomości i – ponieważ link wygasł – tworzy na Privnote nową wiadomość o tej samej treści. Powiedzmy, że nowa wiadomość otrzymuje adres:
https://privnote.com/#efgh
Następnie operator serwera pocztowego podmienia link w mailu do kontrahenta.
3) Kontrahent klika w link:
https://privnote.com/#efgh
i zapoznaje się z treścią wiadomości, dzięki czemu ani on, ani Przemysław Słomski nie zauważają, że coś nie jest OK.
Co gorsza, jeśli Przemysław Słomski podał w treści wiadomości numer konta bankowego do wpłaty, to atakujący może go podmienić na swój numer w treści utworzonej przez siebie wiadomości.
Zaradzić można temu szyfrując treść maila, lecz jeśli szyfrujemy treść maila, Privnote nie jest nam już do niczego potrzebne.
Pozdrawiam
Jasne. Podobnie wątpliwe jest używanie https://www.igolder.com/pgp/encryption – oddaje sie swoj klucz prywatny i haslo do niego jakiejś trzeciej stronie.
Najlepsze jest klasyczne PGP.
Jeśli chodzi o prywatność to pewnie wielu z Was zauważyło co się stało z TrueCrypt:
http://truecrypt.sourceforge.net/
Nie wiem co mam sądzić o proponowanym BitLocker. Czy twórcy TrueCrypt nie ugięli się przed jakimiś służbami i potajemnie nie wpuścili do siebie kretów ? Ale za to muszą oferować inne rozwiązanie, w którym krety są już od początku ? Może ktoś coś wie ? Trzeba już formatować swoje dyski zabezpieczone TrueCryptem ?
A jaki jest Twój klucz pgp
—–BEGIN PGP PUBLIC KEY BLOCK—–
Version: GnuPG v2.0.19 (MingW32)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=D+v5
—–END PGP PUBLIC KEY BLOCK—–