Forum » Omrežja in internet » GPG šifiranje e-pošte preko proxya
GPG šifiranje e-pošte preko proxya
poweroff ::
PGP ima eno zanimivo rešitev, ki dela tole:
Skratka, program se namesti na računalnik, le-ta pa potem deluje kot proxy. Poštni odjemalec se namesto na poštni strežnik poveže (lokalno) na proxy, le-ta pa pošto šifrira/dešifrira/samodejno poišče ključe in se potem poveže na poštni strežnik.
Vprašanje: kako nekaj takega narediti na (Ubuntu) Linuxu - na odjemalčevi strani?
Skratka, ideja je, da se na strežniku vsa pošta šifrira in v šifrirani obliki shrani na disk. Lahko se šifrira tudi samo z enim ključem, ker tukaj govorimo samo o šifriranju dohodne pošte na samem strežniku.
Potem pa se moj Linux poštni odjemalec preko proxya poveže na strežnik, proxy prenese pošto, jo lokalno dešifrira in nešifrirano (lokalno) posreduje poštnemu odjemalcu. V tem primeru celo lahko uporabljaš nešifriran POP3 ali IMAP in je varost vseeno zagotovoljena.
Predstavljam si, da bi rabil neko skripto, ki bi poslušala na lokalnem portu in se potem znala povezovat/sprejemat povezave in šifrirat/dešifrirat...
Kakšna ideja ali kaj takega že obstaja oziroma kako se tega lotiti?
PGP Desktop Email is email encryption software that automatically encrypts email as it is received and sent on desktops and/or laptops, without affecting the end-user email experience. PGP Desktop Email operates as a proxy, supports the two global email encryption standards, OpenPGP and S/MIME and automatically discovers keys and certificates as required.
Skratka, program se namesti na računalnik, le-ta pa potem deluje kot proxy. Poštni odjemalec se namesto na poštni strežnik poveže (lokalno) na proxy, le-ta pa pošto šifrira/dešifrira/samodejno poišče ključe in se potem poveže na poštni strežnik.
Vprašanje: kako nekaj takega narediti na (Ubuntu) Linuxu - na odjemalčevi strani?
Skratka, ideja je, da se na strežniku vsa pošta šifrira in v šifrirani obliki shrani na disk. Lahko se šifrira tudi samo z enim ključem, ker tukaj govorimo samo o šifriranju dohodne pošte na samem strežniku.
Potem pa se moj Linux poštni odjemalec preko proxya poveže na strežnik, proxy prenese pošto, jo lokalno dešifrira in nešifrirano (lokalno) posreduje poštnemu odjemalcu. V tem primeru celo lahko uporabljaš nešifriran POP3 ali IMAP in je varost vseeno zagotovoljena.
Predstavljam si, da bi rabil neko skripto, ki bi poslušala na lokalnem portu in se potem znala povezovat/sprejemat povezave in šifrirat/dešifrirat...
Kakšna ideja ali kaj takega že obstaja oziroma kako se tega lotiti?
sudo poweroff
hruske ::
Skratka, ideja je, da se na strežniku vsa pošta šifrira in v šifrirani obliki shrani na disk. Lahko se šifrira tudi samo z enim ključem, ker tukaj govorimo samo o šifriranju dohodne pošte na samem strežniku.
Zoper katero nevarnost želiš uporabit šifriranje? Onemogočit branje plain text mailov, ki so shranjeni na disk? Onemogočit MITM napade?
Rad imam tole državico. <3
poweroff ::
Onemogočit branje plain text mailov, ki so shranjeni na disk strežnika (na klientu je itak vse šifrirano). Sicer je res, da je na serverju mogoče to šifriranje izklopiti, vendar v primeru vdora napadalec za nazaj ne bo mogel dostopati do mailov.
Zadevo bibilo mogoče izvesti tako, da bi na serverju uporabil daemon, ki bi mi vse maile šifriral z mojim javnim ključem in bi potem jaz to odklenil direktno s Thunderbirdom.*
Vendar pa je prednost v prvem postu opisanega pristopa v tem, da Thunderbird dobi nešifrirane maile, ki jih lahko poindeksira in po katerih je mogoče enostavno iskati. Hkrati pa so maili na disku serverja šifrirani, pri prenosu pa tudi (če ne uporabljamo TLS/SSL).
(*) Podopcija je, da se pogleda, če je mail že šifriran in ga potem ne šifrira, se pravi da se izognemo dvojnemu šifriranju in s tem tudi odpade potreba po dvojnemu dešifriranju, kar je lahko zoprn usability problem.
V bistvu sem našel tole zadevo:
http://emailrelay.sourceforge.net/userg...
In moj "instinkt" mi pravi, da bi se zgornjo idejo dalo izvesti s pomočjo ali vsaj v stilu tega programa...
Zadevo bibilo mogoče izvesti tako, da bi na serverju uporabil daemon, ki bi mi vse maile šifriral z mojim javnim ključem in bi potem jaz to odklenil direktno s Thunderbirdom.*
Vendar pa je prednost v prvem postu opisanega pristopa v tem, da Thunderbird dobi nešifrirane maile, ki jih lahko poindeksira in po katerih je mogoče enostavno iskati. Hkrati pa so maili na disku serverja šifrirani, pri prenosu pa tudi (če ne uporabljamo TLS/SSL).
(*) Podopcija je, da se pogleda, če je mail že šifriran in ga potem ne šifrira, se pravi da se izognemo dvojnemu šifriranju in s tem tudi odpade potreba po dvojnemu dešifriranju, kar je lahko zoprn usability problem.
V bistvu sem našel tole zadevo:
http://emailrelay.sourceforge.net/userg...
In moj "instinkt" mi pravi, da bi se zgornjo idejo dalo izvesti s pomočjo ali vsaj v stilu tega programa...
sudo poweroff
Zgodovina sprememb…
- spremenilo: poweroff ()
poweroff ::
Delček tega o čemer semr azmišljal je že implementiran:
https://grepular.com/Automatically_Encr...
https://grepular.com/Automatically_Encr...
sudo poweroff
poweroff ::
Ne, sem že od vedno tak. 
V resnici sem se pred kakšnimi ... 8, morda več leti odločil, da bom teorijo združil s prakso in od takrat naprej imam VSE trde diske šifrirane (tudi backupi in USB ključki), enako velja za večino serverjev (razen kjer imam nepomembne stvari), podatki v cloudu so obvezno šifrirani, na računalnikih (prenosni in stacionarni) pa uporabljam še dodatno šifriranje vsebine uporabniških home direktorijev (da en legitimni user ne more do podatkov drugega userja, celo če ima root privilegije).
Nadalje uporabljam VPN povezave, večino brskanja po spletu gre preko HTTPS (ustrezni dodatki za Firefox), dostopi do pošte so striktno preko IMAPs/POP3s/secureSMTP, prav tako IM klienti... in seveda Tor anonimizacija.
Firewalli striktno nastavljeni, redno nalaganje varnostnih posodobitev, itd. kar pač sodi zraven. Vključno z raznimi antiforenzičnimi forami (= forenzični pregled opreme bo pokazal točno tisto kar jaz hočem, da pokaže).
Sedaj bi pač rad naredil korak naprej in nagruntal sistem za še dodatno zavarovanje pošte ter telefonskih komunikacij.
Zakaj? Preprosto zato, ker teorija je eno, videti kako se zadeve obnašajo v praksi, je pa drugo.
Če potegnem analogijo z orožjem - jaz lahko preberem knjigo o tem kako uporabljati puško, ampak, ko jo bom prvič držal v roki je ne bom znal uporabljat, pa čeprav sem prej prebral 10 knjig.
Poleg tega je velik izziv kako varnost napraviti tako, da je za običajnega uporabnika čim manj "moteča".
Ima pa zadeva seveda še zelo praktični vidik - v teh zadevah vidim svoj biznis. Zato načrtno vlagam v znanje. Tako "podiranja" sistemov, kot vzpostavljanja varnih sistemov.
Marsikaj od zgoraj naštetega sem uvedel v uporabo v službi in sedaj sodelavci s pridom uporabljajo. In marsikaj mi bo prišlo prav v naslednji službi.
V resnici sem se pred kakšnimi ... 8, morda več leti odločil, da bom teorijo združil s prakso in od takrat naprej imam VSE trde diske šifrirane (tudi backupi in USB ključki), enako velja za večino serverjev (razen kjer imam nepomembne stvari), podatki v cloudu so obvezno šifrirani, na računalnikih (prenosni in stacionarni) pa uporabljam še dodatno šifriranje vsebine uporabniških home direktorijev (da en legitimni user ne more do podatkov drugega userja, celo če ima root privilegije).
Nadalje uporabljam VPN povezave, večino brskanja po spletu gre preko HTTPS (ustrezni dodatki za Firefox), dostopi do pošte so striktno preko IMAPs/POP3s/secureSMTP, prav tako IM klienti... in seveda Tor anonimizacija.
Firewalli striktno nastavljeni, redno nalaganje varnostnih posodobitev, itd. kar pač sodi zraven. Vključno z raznimi antiforenzičnimi forami (= forenzični pregled opreme bo pokazal točno tisto kar jaz hočem, da pokaže).
Sedaj bi pač rad naredil korak naprej in nagruntal sistem za še dodatno zavarovanje pošte ter telefonskih komunikacij.
Zakaj? Preprosto zato, ker teorija je eno, videti kako se zadeve obnašajo v praksi, je pa drugo.
Če potegnem analogijo z orožjem - jaz lahko preberem knjigo o tem kako uporabljati puško, ampak, ko jo bom prvič držal v roki je ne bom znal uporabljat, pa čeprav sem prej prebral 10 knjig.
Poleg tega je velik izziv kako varnost napraviti tako, da je za običajnega uporabnika čim manj "moteča".
Ima pa zadeva seveda še zelo praktični vidik - v teh zadevah vidim svoj biznis. Zato načrtno vlagam v znanje. Tako "podiranja" sistemov, kot vzpostavljanja varnih sistemov.
Marsikaj od zgoraj naštetega sem uvedel v uporabo v službi in sedaj sodelavci s pridom uporabljajo. In marsikaj mi bo prišlo prav v naslednji službi.
sudo poweroff
b3D_950 ::
dnscrypt že uporabljaš?
Kaj pa dodaten gateway za pošto, s tem bi mail server "ločil od interneta"?
Kaj pa dodaten gateway za pošto, s tem bi mail server "ločil od interneta"?
Zdaj ko je mir, jemo samo krompir.
black ice ::
Matthai: S čim kriptiraš diske? S truecryptom? Imaš zakupljen VPN ali kako imaš to urejeno? Imaš SW ali HW firewall?
gslo ::
windows boxe vrjetno s truecryptom (če jih ima), vprašanje je če uporablja full disk encryption na linuxu - LUKS/LVM ali Truecrypt? imo luks.
poweroff ::
Naslednji službi: definitivno ne mislim ostati v državni upravi. Škoduje zdravju. 
Za kriptiranje uporabljam LUKS Cryptsetup (v bistvu šifriran LVM). Ja, na Linuxu, full disk.
VPN (OpenVPN) imam eno kriptirano virtualko nekje, da. Firewall... na vsaki mašini softwerski, doma pa potem še hardwerski (mislim, v bistvu gor tudi software laufa). Pa wireless omrežje doma imam ločeno od internega wired omrežja... to je ostalo izpred par let, ko sem se nekaj z networkingom preveč igral...
V službi pa TrueCrypt (Windowzi pač).
Dnscrypta pa ne uporabljam.. zanimivo, si bom pogledal zadevo. Z dodatnim gatewayem za pošto je pa tako, da bi se temu rad izognil, ker je to še ena dodatna kišta za vzdrževat, poleg tega "moj" mail provider zelo dobro opravlja svoje delo (imamo privat mail server, ki je skrajno paranoično skonfiguriran - bistveno bolje, kot bi ga znal sam).
Za kriptiranje uporabljam LUKS Cryptsetup (v bistvu šifriran LVM). Ja, na Linuxu, full disk.
VPN (OpenVPN) imam eno kriptirano virtualko nekje, da. Firewall... na vsaki mašini softwerski, doma pa potem še hardwerski (mislim, v bistvu gor tudi software laufa). Pa wireless omrežje doma imam ločeno od internega wired omrežja... to je ostalo izpred par let, ko sem se nekaj z networkingom preveč igral...
V službi pa TrueCrypt (Windowzi pač).
Dnscrypta pa ne uporabljam.. zanimivo, si bom pogledal zadevo. Z dodatnim gatewayem za pošto je pa tako, da bi se temu rad izognil, ker je to še ena dodatna kišta za vzdrževat, poleg tega "moj" mail provider zelo dobro opravlja svoje delo (imamo privat mail server, ki je skrajno paranoično skonfiguriran - bistveno bolje, kot bi ga znal sam).
sudo poweroff
poweroff ::
Heh, našel nekaj še bolj zanimivega: http://g10code.com/steed.html
Tole, dragi moji, bi moralo postati del Thunderbird odjemalca.
Tole, dragi moji, bi moralo postati del Thunderbird odjemalca.
sudo poweroff
shadow7 ::
Včasih je obstajal Ciphire Mail - transparenten proxy za (de)kriptiranje pošte. Ni bil S/MIME kompatibilen, je pa zašifriral tudi subject. Brezplačno za zasebno uporabo, nadvse preprost za uporabo. Žal so 2008 prenehali s poslovanjem.
Matija82 ::
Hm, mogoče bi kaj našel pri konceptu nym serverja in remailerjev ?
http://www.scs.stanford.edu/~dm/home/pa...
http://www.scs.stanford.edu/~dm/home/pa...
Zgodovina sprememb…
- spremenilo: Matija82 ()
noraguta ::
smime dela povsem vredu tko klajent kot server side, ni pa standarda. na client side itak veš kako narediš svoj mail strežnik pa on handla.
Pust' ot pobyedy k pobyedye vyedyot!
poweroff ::
Enigmail NE REŠUJE opisanega problema. Pri Enigmailu GPG šifrirane maile dobiš v local storage (problemi z idexingom), problem je dvojno šifriranje in problem je da se podre sistem identifikacije public keyev na podlagi senders address-a.
Sicer pa sem se dobil z enim študentom, ki je pokazal interes, da bi to zadevo razvil v okviru svoje diplomske naloge.
Sicer pa sem se dobil z enim študentom, ki je pokazal interes, da bi to zadevo razvil v okviru svoje diplomske naloge.
sudo poweroff
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Odkrita resna ranljivost v PGP in S/MIME šifriranju elektronske pošte - podrobnostiOddelek: Novice / Varnost | 7191 (5725) | MrStein |
| » | Googlovo opozarjanje na nešifrirano e-pošto povečalo delež šifriraneOddelek: Novice / Omrežja / internet | 5129 (3630) | Furbo |
| » | Evropski ponudniki e-mail in "oblačnih" storitev (zasebnost itd.) (strani: 1 2 )Oddelek: Informacijska varnost | 31717 (29973) | SeMiNeSanja |
| » | Pipin odprti termin: Kako zavarovati elektronsko pošto pred prestrezanjem?Oddelek: Novice / Kiberpipa | 5398 (4136) | M.B. |