Slo-Tech - Iz spletnega vmesnika za Gmail je že sedaj možno pošiljati šifrirano elektronsko pošto, a terja nekaj usklajevanja med pošiljateljem in prejemnikom. Za uporabo protokola S/MIME (Secure/Multipurpose Internet Mail Extensions) za pošiljanje šifriranih elektronskih sporočil mora imeti prejemnik konfiguriranega odjemalca, kar ni vedno res. Google bo to prepreko odpravil.

Poslovni uporabniki bodo lahko šifrirana sporočila pošiljali preprosto tako, da bodo s klikom vključili možnost šifriranje med pisanjem elektronskega sporočila. Kdor ima Gmail oziroma S/MIME, bo sporočilo normalno videl in prebral. Kdor pa tega nima, bo prejel povezavo, ki mu bo omogočala vpis v račun Google Workspace, kjer bo sporočilo lahko prebral in nanj odgovoril. V računih Gmail bo dešifriranje potekalo avtomatično in brez uporabnikove interakcije.

Čeprav je šifriranje korak dlje od TLS-a, vendarle ne gre za šifriranje od pošiljatelja do prejemnika (end-to-end), ker Google vsebino vidi. Novost bodo uvajali...

Slo-Tech - SKupian evropskih raziskovalcev je na Twiterju objavila opozorilo, da so v šifriranju elektronske pošte PGP/GPG in S/MIME našli skupino resnih ranljivosti, ki lahko napadalcu razkrijejo vsebino preteklih (šifriranih) sporočil.

Podrobnosti sicer še niso znane, jih bodo pa objavili jutri ob 9:00 zjutraj po našem času. Raziskovalci so s podrobnostmi ranljivosti predhodno seznanili Electronic Frontier Foundation, ki je potrdila, da gre za resno grožnjo.

Kot prvi ukrep se priporoča onemogočanje samodejnega dešifriranja sporočil, torej onemogočanje dodatkov za PGP/GPG šifriranje v poštnih odjemalcih (npr. Enigmail v odjemalcu Thunderbird, GPGTools v Apple Mail, Gpg4win v Outlook).

O podrobnostih bomo še poročali.

DODATEK: avtorji so predčasno objavili opis ranljivosti. Na kratko, gre za dve metodi. Prva je tim. neposredno uhajanje (angl. direct exfiltration), kjer napadalec vsebino šifriranega sporočila ukrade s pomočjo HTML image značke, vstavljene v ustrezno pripravljeno sporočilo....

Google - Google je sporočil, da se je delež elektronske pošte, ki v nabiralnike uporabnikov Gmaila prispe prek varnih, šifriranih povezav, v zadnjem mesecu povečal za 25 odstotkov, kar pripisujejo izrecnemu opozarjanju, kdaj je povezava nezaščitena. V Googlu si želijo, da bi bila sčasoma vsa elektronska pošta šifrirana od pošiljatelja do prejemnika (end-to-end), do česar nas loči še precej časa (tehnologija, kot je PGP, seveda že obstaja, a jo uporablja bolj malo ljudi).

Ko si si zamislili elektronsko pošto, je bil svet popolnoma drugačen - po tedanjem ARPANET-u so prvo elektronsko sporočilo poslali daljnega leta 1971 - in šifriranje tedaj ni bilo pomembno. Toda nešifrirana elektronska pošta je ekvivalent pošiljanja informacij na poštni razglednici, zato jo šifriramo na različne načine. Uporaba protokola TLS za komunikacijo med strežniki poskrbi, da nihče ne more prebrati pošte med...

Slo-Tech - Švicarski ProtonMail, ki ga je ustanovilo nekaj znanstvenikov iz CERN-a in je namenjen pošiljanju varne šifrirane elektronske pošte, je bil tarča sofisticiranega DDoS-napada, ki ni pojenjal niti po plačilu odkupnine. Napad na ProtonMail se je pričel 3. novembra in je prvi dan trajal 15 minut, potem pa so napadalci poslali elektronsko sporočilo, v katerem so zahtevali plačilo 15 bitcoinov, sicer bi napad ponovili v razširjeni različici.

ProtonMail sprva ni plačal in naslednji dan dopoldne je sledil daljši napad, ki je povzročil nemalo škode strankam. Začel se je ob 11. uri in do 14. ure napredoval do obsega 100 gigabitov na sekundo. Zanimivo je bilo dejstvo, da niso napadali le strežnikov ProtonMaila, temveč tudi infrastrukturo v Zürichu in...

Slashdot - Hushmail je spletni ponudnik e-pošte, ki omogoča pošiljanje PGP/GPG šifrirane elektronske pošte preko spletnega vmesnika. Pri tem uporablja poseben Java applet, ki omogoča šifriranje in dešifriranje na strani odjemalca.

Hushmail naj bi bil tako najbolj varen ponudnik e-pošte, vendar pa se je konec lanskega leta izkazalo, da je kanadsko podjetje Hushmail na podlagi vzajemnega sporazuma o pravni pomoči med Kanado in ZDA ameriškim pravosodnim organom izročilo dešifrirana elektronska sporočila svojega uporabnika. Predstavniki Hushmaila so kasneje tudi priznali, da beležijo IP naslove uporabnikov.

Te dni pa so pri Cryptome odkrili še nekaj nadvse nenavadnega.

Hushmail namreč na svoji spletni strani ponuja dostop do celotne izvorne kode svojega šifrirnega stroja, tim. Hush Encryption Engine. Koda vsebuje tudi Javanski program označen z različico 3-0-0-30, ki skrbi za izvedbo šifriranja.

Kar je nadvse nenavadno pa je dejstvo, da so pri Cryptome odkrili, da se javanska izvršilna...

Wired Blog - Spletni dostop do elektronske pošte ima veliko prednost - dostopnost iz kateregakoli računalnika s povezavo v splet in spletnim brskalnikom. Žal pa ima tudi veliko slabost - s pomočjo napada s posrednikom (man-in-the-middle) ali v primeru vdora v strežnik na katerem je shranjena elektronska pošta, lahko pride do kršitve tajnosti elektronske pošte.

Leta 1999 pa se je pojavil spletni ponudnik elektronske pošte, ki naj bi ponudil rešitev tudi za to tržno nišo. Gre za kanadsko podjetje Hushmail, ki omogoča pošiljanje PGP/GPG šifrirane elektronske pošte preko spletnega vmesnika.

Hushmail namreč uporablja Java applet, ki omogoča šifriranje in dešifriranje na strani odjemalca. S tem na strežnik "prispejo" že šifrirani podatki, kar pomeni, da vdor ali vpogled v uporabniški predal ne razkrije vsebine e-pošte.

Vendar pa je nalaganje Java appleta razmeroma moteče, zato so pri Hushmailu leta 2006 ponudili možnost, da uporabniki uporabljajo šifriranje in dešifriranje na strežniški strani. S...