Forum » Programska oprema » PEP security - mnenja
PEP security - mnenja
poweroff ::
Je morda že kdo zasledil tole: https://www.pep.security/en/
Na prvi pogled je videti v redu. Ampak malo so mi sumljivi... hvalijo se s code reviewi, ki pa so stari 4 leta, poleg tega gre za 2 različici audita, ki ju je naredila ista firma.
Na Twiterju zavajajo, da se Enigmail ukinja (v resnici se bo integriral v Thunderbird).
Poleg tega so locirani v Švici, kar je slab znak sam po sebi.
V glavnem, zadeva ne izgleda slabo, je pa par drobnih indikatorjev, da mogoče ni vse čisto OK. Mnenja?
Na prvi pogled je videti v redu. Ampak malo so mi sumljivi... hvalijo se s code reviewi, ki pa so stari 4 leta, poleg tega gre za 2 različici audita, ki ju je naredila ista firma.
Na Twiterju zavajajo, da se Enigmail ukinja (v resnici se bo integriral v Thunderbird).
Poleg tega so locirani v Švici, kar je slab znak sam po sebi.
V glavnem, zadeva ne izgleda slabo, je pa par drobnih indikatorjev, da mogoče ni vse čisto OK. Mnenja?
sudo poweroff
Sindrom ::
A ni bil tale Pretty Easy Privacy (PEP) nekaj časa prisoten v Enigmail-u? Kolikor razumem, se bo Enigmail ukinil, ker bo Thunderbird dobil integrirano varianto šifriranja pošte. Ne, Enigmail ne bo postal del Thunderbird-a ampak bo slednji dobil nekaj ločenega, vendar podobnega. Enigmail pa bo skupaj z PEP, Autocrypt-om (in hargrid?) služil kot osnova in izvor idej za Thunderbird-ovo podporo za šifrirano pošto. Seveda pa je tukaj še več dejavnikov - omeniti moramo še same standarde šifriranja in OpenPGP ima že kar precej let ter počasi dobiva sive lase. V zadnjih letih je bilo tudi precej napadov na samo infrastrukturo distribucije javnih ključev (hkp keyservers). Tako, da jaz tole vse skupaj razumem kot nek poskus nadgraditve samega standarda za šifriranje e-pošte.
Zakaj je lokacija v Švici slab signal?
Zakaj je lokacija v Švici slab signal?
"If privacy is outlawed, only outlaws will have privacy." - Phil Zimmerman
poweroff ::
CryptoAG, poleg tega je švicarska zalonodaja glede zasebnosti zelo slaba. Plus, imajo podpisanih preces sporazumov s tajnimi službami.
sudo poweroff
Zimonem ::
Glede zasebnosti je švicarska zakonodaja precej striktna. Ni pa utopična. CryptoAG je pa stvar mimo zakonodaje.
sbawe64 ::
CryptoAG, poleg tega je švicarska zalonodaja glede zasebnosti zelo slaba. Plus, imajo podpisanih preces sporazumov s tajnimi službami.
Katera država bi bila ok za sedež podjetja ?
2020 is new 1984
Corona World order
Corona World order
Saul Goodman ::
CryptoAG, poleg tega je švicarska zalonodaja glede zasebnosti zelo slaba. Plus, imajo podpisanih preces sporazumov s tajnimi službami.
Katera država bi bila ok za sedež podjetja ?
najprej bi bilo potrebno analizirati tvoj faktor tveganja in natančno definirati, proti komu ali čemu se želiš zaščitit.
resnici na ljubo je v današnjih razmerah za čim boljši rezultat v boju proti obveščevalnim službam potrebno izbrati najugodnejšo jurisdikcijo.
če si rus, amerika.
če si američan, rusija ali kitajska.
če si kitajc, amerika.
na ta način najverjetneje povzročiš največ preglavic / dela state actorjem iz nasprotnega pola.
če so problem vsi trije, si pretty much fucked.
@matthai: kakšno je potem tvoje mnenje glede Proton AG? (protonmail/protonvpn)
Zgodovina sprememb…
- spremenilo: Saul Goodman ()
poweroff ::
Situacijo v Švici kar poznam, ker imam tam nekaj dobrih kontaktov. Ja, zasebnostno zakonodajo so res imeli dobro, vendar se je v zadnjih letih "pokvarila". Seveda Švica tega ne propagira na glas, ker želijo da jih drugi vidijo kot "oazo zasebnosti". Dejstvo pa je, da so Švicarji vedno igrali dvojne igre, gledajo pa predvsem na lastno korist. S tem ni nič narobe, samo treba se je zavedati tega. Konec koncev je pa Švica precej fašistična in nestrpna država, čeprav se sami skušajo prikazati drugače (neposredna, referendumska demokracija, itd...).
V zadnjih letih so podpisali cel kup bilateralnh dogovorov o izmenjavi podatkov z ameriškimi obveščevalnimi službami. Po eni strani se hvalijo s svojo "zasebnostno" zakonodajo in s tem k sebi privabljajo ljudi, "ki imajo kaj za skrivat", po drugi strani pa podatke veselo prodajajo obveščevalnim službam - dvojna zmaga.
CryptoAG po mojem mnenju ni bila anomalija, pač pa prej "sistemska rešitev". Konec koncev taka operacija mimo vsaj minimalnega vedenja lokalnih oblasti ne bi mogla, pa čeprav zdaj trdijo drugače.
Kar se tiče Protona... za neko mednarodno organizacijo sem postavljal malo bolj občutljivo infrastrukturo in sem predlagal, da se za kontakt odpre mail pri Protonu. Ljudje iz Švice so bili takoj zelo močno proti. In so mi povedali par stvari, zaradi katerih zdaj na Proton gledam z rahlo skepso. Ne pravim, da gre za fishy operation, ampak zadeva vsekakor ni povsem čista.
V zadnjih letih so podpisali cel kup bilateralnh dogovorov o izmenjavi podatkov z ameriškimi obveščevalnimi službami. Po eni strani se hvalijo s svojo "zasebnostno" zakonodajo in s tem k sebi privabljajo ljudi, "ki imajo kaj za skrivat", po drugi strani pa podatke veselo prodajajo obveščevalnim službam - dvojna zmaga.
CryptoAG po mojem mnenju ni bila anomalija, pač pa prej "sistemska rešitev". Konec koncev taka operacija mimo vsaj minimalnega vedenja lokalnih oblasti ne bi mogla, pa čeprav zdaj trdijo drugače.
Kar se tiče Protona... za neko mednarodno organizacijo sem postavljal malo bolj občutljivo infrastrukturo in sem predlagal, da se za kontakt odpre mail pri Protonu. Ljudje iz Švice so bili takoj zelo močno proti. In so mi povedali par stvari, zaradi katerih zdaj na Proton gledam z rahlo skepso. Ne pravim, da gre za fishy operation, ampak zadeva vsekakor ni povsem čista.
sudo poweroff
Sindrom ::
Zato pa vedno vstrajam, naj bo infrastruktura prispevana s strani podjetji, protokoli in programska oprema pa naj bodo javni in odprtokodni. Tako 'zlobne' vladne organizacije ne morejo prisiliti ponudnikov storitev, da vgradijo razna stranska vrata v software, ki ni njihov. Ravnotako pa ne morejo vsiliti trojancev v odprtokodne programe, ki imajo razvijalce v po celem svetu. Promet bodo podjetja lahko še vedno vohljala, vsebine šifriranih sporočil pa nikakor ne.
Dobri primeri takih sistemov:
- E-poštni strežniki, software je thunderbird, pošta zašifrirana z OpenPGP
- XMPP strežniki, software je Pidgin, klepet zašifriran z OTR
- SIP/VoIP strežniki, software je npr. Jitsi, pogovor zašifriran z ZRTP
- Matrix strežniki z elementom ali Pidgin plugin-om
Matthai: Nekaj na to temo:
Kaj pa se sedaj dogaja, ko so policisti v Franciji nedavno razbili tisto zašifrirano kriminalno mrežo mamilašev, sedaj pa baje težijo na EU naj se nekaj stori zoper šifriranja? Bomo imeli tudi v EU cryptowars?
https://ec.europa.eu/home-affairs/sites...
https://fm4.orf.at/stories/3005421/
Dobri primeri takih sistemov:
- E-poštni strežniki, software je thunderbird, pošta zašifrirana z OpenPGP
- XMPP strežniki, software je Pidgin, klepet zašifriran z OTR
- SIP/VoIP strežniki, software je npr. Jitsi, pogovor zašifriran z ZRTP
- Matrix strežniki z elementom ali Pidgin plugin-om
Matthai: Nekaj na to temo:
Kaj pa se sedaj dogaja, ko so policisti v Franciji nedavno razbili tisto zašifrirano kriminalno mrežo mamilašev, sedaj pa baje težijo na EU naj se nekaj stori zoper šifriranja? Bomo imeli tudi v EU cryptowars?
https://ec.europa.eu/home-affairs/sites...
https://fm4.orf.at/stories/3005421/
"If privacy is outlawed, only outlaws will have privacy." - Phil Zimmerman
poweroff ::
Glede PEP... njihova kjoda sicer je odprtokodna. Pravijo tudi, da je bila security reviewana. Vendar - leta 2016.
Odprtokodnost je pa sicer super, ampak je treba preveriti ali je koda v redu in predvsem ali so buildi dejansko narejeni iz te kode. Sicer imajo na strani napisano nekaj na temo reproducible builds, ampak ravno zaradi vsega me zanima ali je kdo še kaj konkretneje gledal zadevo ali ne.
Glede EU cryptowars... težnje so seveda vedno, kako bodo uspešni, bomo pa še videli.
Odprtokodnost je pa sicer super, ampak je treba preveriti ali je koda v redu in predvsem ali so buildi dejansko narejeni iz te kode. Sicer imajo na strani napisano nekaj na temo reproducible builds, ampak ravno zaradi vsega me zanima ali je kdo še kaj konkretneje gledal zadevo ali ne.
Glede EU cryptowars... težnje so seveda vedno, kako bodo uspešni, bomo pa še videli.
sudo poweroff
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Nemško Ustavno sodišče: Vsesplošno vohunjenje na mednarodnih vodih neustavnoOddelek: Novice / Zasebnost | 4272 (3566) | boldleaf |
| » | GPG šifiranje e-pošte preko proxyaOddelek: Omrežja in internet | 2469 (2128) | poweroff |
| » | Za nekaj ur dostopni vsi podatki v DropboxuOddelek: Novice / Varnost | 11366 (8966) | 3p |
| » | Kako prisluškovati svetuOddelek: Novice / Zasebnost | 2763 (2763) | MrStein |