» »

Ali je Hushmail še zaupanja vreden?

Ali je Hushmail še zaupanja vreden?

Slashdot - Hushmail je spletni ponudnik e-pošte, ki omogoča pošiljanje PGP/GPG šifrirane elektronske pošte preko spletnega vmesnika. Pri tem uporablja poseben Java applet, ki omogoča šifriranje in dešifriranje na strani odjemalca.

Hushmail naj bi bil tako najbolj varen ponudnik e-pošte, vendar pa se je konec lanskega leta izkazalo, da je kanadsko podjetje Hushmail na podlagi vzajemnega sporazuma o pravni pomoči med Kanado in ZDA ameriškim pravosodnim organom izročilo dešifrirana elektronska sporočila svojega uporabnika. Predstavniki Hushmaila so kasneje tudi priznali, da beležijo IP naslove uporabnikov.

Te dni pa so pri Cryptome odkrili še nekaj nadvse nenavadnega.

Hushmail namreč na svoji spletni strani ponuja dostop do celotne izvorne kode svojega šifrirnega stroja, tim. Hush Encryption Engine. Koda vsebuje tudi Javanski program označen z različico 3-0-0-30, ki skrbi za izvedbo šifriranja.

Kar je nadvse nenavadno pa je dejstvo, da so pri Cryptome odkrili, da se javanska izvršilna datoteka, ki se naloži uporabnikom Hushmaila razlikuje od javanske izvršilne datoteke objavljene na spletni strani, obe datoteki pa sta označeni z isto različico.

SHA-1 kontrolna vsota na spletni strani objavljene prve je 0e6efd6b236cbb2a73049a65d6d9c5e23ac3d25b, SHA-1 kontrolna vsota javanske datoteke, ki se naloži uporabnikom pa 09e56f59a8392522543af1a1a95cb80729aa62c6.

Na Cryptome.org pravijo, naj bralci zaključke potegnejo sami, na Slashdotu pa že poteka živahna debata.

In kaj menite vi?

8 komentarjev

ozbolt ::

Ali obstajajo še drugi? Mogoče kaki od googla ali pač ne?
Sicer se pa vidi da smo ljudje riti in da je ljudem na vrhu ratal nas naredit strahopetne in pač take kot smo, mislimo le na denar. Še posebej Američani.

fiction ::

Sej je lepo, da so ljudje pazljivi, ampak tukaj gre ocitno za pomoto in ne bi bilo
treba takoj zagnati panike.

Tista verzija na strani se razlikuje v tem da je poslana cez Proguard obfuskator, kar ima za
posledico manjso velikost (to se ponavadi uporablja za J2ME midlete, kjer se vsak bajt se kako pozna). Ze samo s SomeClass -> a menjavo v bytecodu se prihrani kar nekaj prostora.

|SNap| ::

Ja, 8 bajtov ;)

arjan_t ::

izročilo dešifrirana elektronska sporočila svojega uporabnika.


in kako so dobili dešifrirano PGP sporočilo ?

user4683 ::

Ja, 8 bajtov ;)

SomeClass jodl = new SomeClass();
SomeClass dodl = new SomeClass();
SomeClass di = new SomeClass();

:P

poweroff ::

Arjan: preberi si povezano novico. Leta 2007 je bilo tudi glavno vprašanje ali je njihov encryption engine morda spremenjen.
sudo poweroff

MrStein ::

A je kdo kodo dekompiliral in pogledal, če je razlika bistvena ?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

MrStein ::

Aha, na http://cryptome.org/hushmail-pry.htm lepo piše, da je tip primerjal napačen fajl. Fajl, ki se v resnici uporablja je res enak tistemu, ki so ga objavili.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Alternativa gmailu

Oddelek: Omrežja in internet		469308 (7670) c3p0
»

Izračunana uspešna kolizija nad SHA-1

Oddelek: Novice / Varnost		188870 (6573) matijadmin
»

Brezplačna odprto-kodna POS Blagajna - mikroBLAGAJNA (strani: 1 2 3 )

Oddelek: Programska oprema		10027493 (16013) japol
»

Razbili internetno mamilarsko združbo

Oddelek: Novice / Kriptovalute		187434 (4845) randomP
»

Hushmail ameriškim pravosodnim organom izročil šifrirne ključe uporabnika

Oddelek: Novice / Zasebnost		73554 (3554) christooss

Več podobnih tem