» »

PEP security - mnenja

PEP security - mnenja

Matthai ::

Je morda že kdo zasledil tole: https://www.pep.security/en/

Na prvi pogled je videti v redu. Ampak malo so mi sumljivi... hvalijo se s code reviewi, ki pa so stari 4 leta, poleg tega gre za 2 različici audita, ki ju je naredila ista firma.

Na Twiterju zavajajo, da se Enigmail ukinja (v resnici se bo integriral v Thunderbird).

Poleg tega so locirani v Švici, kar je slab znak sam po sebi.

V glavnem, zadeva ne izgleda slabo, je pa par drobnih indikatorjev, da mogoče ni vse čisto OK. Mnenja?
All those moments will be lost in time, like tears in rain...
Time to die.

Sindrom ::

A ni bil tale Pretty Easy Privacy (PEP) nekaj časa prisoten v Enigmail-u? Kolikor razumem, se bo Enigmail ukinil, ker bo Thunderbird dobil integrirano varianto šifriranja pošte. Ne, Enigmail ne bo postal del Thunderbird-a ampak bo slednji dobil nekaj ločenega, vendar podobnega. Enigmail pa bo skupaj z PEP, Autocrypt-om (in hargrid?) služil kot osnova in izvor idej za Thunderbird-ovo podporo za šifrirano pošto. Seveda pa je tukaj še več dejavnikov - omeniti moramo še same standarde šifriranja in OpenPGP ima že kar precej let ter počasi dobiva sive lase. V zadnjih letih je bilo tudi precej napadov na samo infrastrukturo distribucije javnih ključev (hkp keyservers). Tako, da jaz tole vse skupaj razumem kot nek poskus nadgraditve samega standarda za šifriranje e-pošte.

Zakaj je lokacija v Švici slab signal?
"If privacy is outlawed, only outlaws will have privacy." - Phil Zimmerman

Matthai ::

CryptoAG, poleg tega je švicarska zalonodaja glede zasebnosti zelo slaba. Plus, imajo podpisanih preces sporazumov s tajnimi službami.
All those moments will be lost in time, like tears in rain...
Time to die.

Zimonem ::

Glede zasebnosti je švicarska zakonodaja precej striktna. Ni pa utopična. CryptoAG je pa stvar mimo zakonodaje.

sbawe64 ::

Matthai je izjavil:

CryptoAG, poleg tega je švicarska zalonodaja glede zasebnosti zelo slaba. Plus, imajo podpisanih preces sporazumov s tajnimi službami.

Katera država bi bila ok za sedež podjetja ?
2020 is new 1984
Corona World order

Saul Goodman ::

sbawe64 je izjavil:

Matthai je izjavil:

CryptoAG, poleg tega je švicarska zalonodaja glede zasebnosti zelo slaba. Plus, imajo podpisanih preces sporazumov s tajnimi službami.

Katera država bi bila ok za sedež podjetja ?


najprej bi bilo potrebno analizirati tvoj faktor tveganja in natančno definirati, proti komu ali čemu se želiš zaščitit.

resnici na ljubo je v današnjih razmerah za čim boljši rezultat v boju proti obveščevalnim službam potrebno izbrati najugodnejšo jurisdikcijo.

če si rus, amerika.
če si američan, rusija ali kitajska.
če si kitajc, amerika.

na ta način najverjetneje povzročiš največ preglavic / dela state actorjem iz nasprotnega pola.

če so problem vsi trije, si pretty much fucked.

@matthai: kakšno je potem tvoje mnenje glede Proton AG? (protonmail/protonvpn)

Zgodovina sprememb…

Matthai ::

Situacijo v Švici kar poznam, ker imam tam nekaj dobrih kontaktov. Ja, zasebnostno zakonodajo so res imeli dobro, vendar se je v zadnjih letih "pokvarila". Seveda Švica tega ne propagira na glas, ker želijo da jih drugi vidijo kot "oazo zasebnosti". Dejstvo pa je, da so Švicarji vedno igrali dvojne igre, gledajo pa predvsem na lastno korist. S tem ni nič narobe, samo treba se je zavedati tega. Konec koncev je pa Švica precej fašistična in nestrpna država, čeprav se sami skušajo prikazati drugače (neposredna, referendumska demokracija, itd...).

V zadnjih letih so podpisali cel kup bilateralnh dogovorov o izmenjavi podatkov z ameriškimi obveščevalnimi službami. Po eni strani se hvalijo s svojo "zasebnostno" zakonodajo in s tem k sebi privabljajo ljudi, "ki imajo kaj za skrivat", po drugi strani pa podatke veselo prodajajo obveščevalnim službam - dvojna zmaga. >:D

CryptoAG po mojem mnenju ni bila anomalija, pač pa prej "sistemska rešitev". Konec koncev taka operacija mimo vsaj minimalnega vedenja lokalnih oblasti ne bi mogla, pa čeprav zdaj trdijo drugače.

Kar se tiče Protona... za neko mednarodno organizacijo sem postavljal malo bolj občutljivo infrastrukturo in sem predlagal, da se za kontakt odpre mail pri Protonu. Ljudje iz Švice so bili takoj zelo močno proti. In so mi povedali par stvari, zaradi katerih zdaj na Proton gledam z rahlo skepso. Ne pravim, da gre za fishy operation, ampak zadeva vsekakor ni povsem čista.
All those moments will be lost in time, like tears in rain...
Time to die.

Sindrom ::

Zato pa vedno vstrajam, naj bo infrastruktura prispevana s strani podjetji, protokoli in programska oprema pa naj bodo javni in odprtokodni. Tako 'zlobne' vladne organizacije ne morejo prisiliti ponudnikov storitev, da vgradijo razna stranska vrata v software, ki ni njihov. Ravnotako pa ne morejo vsiliti trojancev v odprtokodne programe, ki imajo razvijalce v po celem svetu. Promet bodo podjetja lahko še vedno vohljala, vsebine šifriranih sporočil pa nikakor ne.

Dobri primeri takih sistemov:
- E-poštni strežniki, software je thunderbird, pošta zašifrirana z OpenPGP
- XMPP strežniki, software je Pidgin, klepet zašifriran z OTR
- SIP/VoIP strežniki, software je npr. Jitsi, pogovor zašifriran z ZRTP
- Matrix strežniki z elementom ali Pidgin plugin-om

Matthai: Nekaj na to temo:
Kaj pa se sedaj dogaja, ko so policisti v Franciji nedavno razbili tisto zašifrirano kriminalno mrežo mamilašev, sedaj pa baje težijo na EU naj se nekaj stori zoper šifriranja? Bomo imeli tudi v EU cryptowars?

https://ec.europa.eu/home-affairs/sites...
https://fm4.orf.at/stories/3005421/
"If privacy is outlawed, only outlaws will have privacy." - Phil Zimmerman

Matthai ::

Glede PEP... njihova kjoda sicer je odprtokodna. Pravijo tudi, da je bila security reviewana. Vendar - leta 2016.

Odprtokodnost je pa sicer super, ampak je treba preveriti ali je koda v redu in predvsem ali so buildi dejansko narejeni iz te kode. Sicer imajo na strani napisano nekaj na temo reproducible builds, ampak ravno zaradi vsega me zanima ali je kdo še kaj konkretneje gledal zadevo ali ne.

Glede EU cryptowars... težnje so seveda vedno, kako bodo uspešni, bomo pa še videli.
All those moments will be lost in time, like tears in rain...
Time to die.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Nemško Ustavno sodišče: Vsesplošno vohunjenje na mednarodnih vodih neustavno

Oddelek: Novice / Zasebnost
92328 (1622) boldleaf
»

GPG šifiranje e-pošte preko proxya

Oddelek: Omrežja in internet
161841 (1500) Matthai
»

Za nekaj ur dostopni vsi podatki v Dropboxu

Oddelek: Novice / Varnost
379418 (7018) 3p
»

Kako prisluškovati svetu

Oddelek: Novice / Zasebnost
262343 (2343) MrStein

Več podobnih tem