|
From
|
marc0 <marc0@autistici.org>
|
|
Date
|
Tue, 28 Jun 2005 01:11:26 +0200
|
|
Subject
|
Re: [Hackmeeting] Re: crackdown autistici/inventati
|
On Mon, Jun 27, 2005 at 08:01:51PM +0200, yattaman wrote:
> ma se spostassimo la crittografia dal certificato ssl a un sano gpg?
utilizzare connessioni cifrate con ssl non è alternativo a usare gpg,
piuttosto puo' essere complementare.
> lo so, in webmail ? un casino. sicuramente ? uno dei problemi per cui
> la crittografia non si diffonde (oltre alla pigrizia degli utenti). ma
> se scrivessimo un applet java - che quindi gira lato client - che
> critta il testo utilizzando la chiave privata che uno ha in locale
> sulla propria chiavetta usb?
> c'? sempre il problema che in linea
> teorica una terza persona - tipo la digos - potrebbe entrare sulla
> comunicazione e modificare l'applet inserendo un riga di codice che
> manda la chiave privata ad una certa email. ma insomma la cosa mi
> sembra abbastanza remota... no?
IMHO stai sminuendo il problema, e questo lo considero pericoloso.
gia' quando sei "sicuro" che una cosa non succedera', questa avviene,
ma se gia' dal principio ti affidi alla semplice speranza...
inoltre IMHO e' una proposta paradossale, cioe' hanno appena fatto i
loro porci comodi con il server e noi che facciamo? andiamo ad
abbassare ancora di piu' le misure di sicurezza lato client...
da questo punto di vista, non mi piace la soluzione che stai proponendo,
suggerirei di usare un %$£%$£ di client di posta.
pero' da un'altro punto di vista, per chi non puo' usare un &%$%&£$ di
client di posta, meglio che niente.
comunque, questi fanno qualcosa di simile, "solo" che la chiave privata
sta' sul server, ma viene decifrata
con la passphrase in locale, quindi in caso di compromissione del server
l'unica difesa che ti rimane e' la passphrase, finche' non la scoprono
sei a posto.
<http://www.hushmail.com/help-documentation>:
<https://www.hushmail.com/public_documents/Webmail%20Using%20the%20Hush%20Encryption%20Engine.pdf>
> poi i problemi diventano diversi. non so - ma non credo - che esista
> gi? una libreria che ti consenta in java di crittare/decrittare un
> messaggio in gpg. sicch? scrivere il codice da zero mi sembra lunga e
> a occhio piuttosto complicato....
esiste un wrapper per permettere di usare pgp da java:
<http://www.cryptography.ch/tiki-page?pageName=pgpjava>
pero' c'e' sempre la dll in c derivata da pgp, e il codice java che ti
permette di utilizzare la libreria c, ma NON e' un'implementazione di
pgp in java.
altrimenti con una exec puoi comunque utilizzare gpg da java, ma non so'
se e che limitazioni ci sono in questo con le applet.
> cmq l'ipotesi applet renderebbe abbastanza impossibile per loro
> leggere le comunicazioni. monitorarle o sequestrare i server non
> basterebbe pi?, dovrebbero attivamente modificarle, fare dei man in
> the middle senza farsi beccare per poterle leggere.
secondo me la fai un po' troppo semplice.
_______________________________________________
Hackmeeting mailing list
Hackmeeting@inventati.org
https://inventati.org/mailman/listinfo/hackmeeting
![[<--]](/icons/prev.gif){kind=icon}
![[-->]](/icons/next.gif){kind=icon}