» »

Hushmail ameriškim pravosodnim organom izročil šifrirne ključe uporabnika

Hushmail ameriškim pravosodnim organom izročil šifrirne ključe uporabnika

Wired Blog - Spletni dostop do elektronske pošte ima veliko prednost - dostopnost iz kateregakoli računalnika s povezavo v splet in spletnim brskalnikom. Žal pa ima tudi veliko slabost - s pomočjo napada s posrednikom (man-in-the-middle) ali v primeru vdora v strežnik na katerem je shranjena elektronska pošta, lahko pride do kršitve tajnosti elektronske pošte.

Leta 1999 pa se je pojavil spletni ponudnik elektronske pošte, ki naj bi ponudil rešitev tudi za to tržno nišo. Gre za kanadsko podjetje Hushmail, ki omogoča pošiljanje PGP/GPG šifrirane elektronske pošte preko spletnega vmesnika.

Hushmail namreč uporablja Java applet, ki omogoča šifriranje in dešifriranje na strani odjemalca. S tem na strežnik "prispejo" že šifrirani podatki, kar pomeni, da vdor ali vpogled v uporabniški predal ne razkrije vsebine e-pošte.

Vendar pa je nalaganje Java appleta razmeroma moteče, zato so pri Hushmailu leta 2006 ponudili možnost, da uporabniki uporabljajo šifriranje in dešifriranje na strežniški strani. S tem je uporaba PGP/GPG šifrirane e-pošte postala bolj enostavna. Vendar pa taka rešitev v praksi pomeni, da ima Hushmail za nekaj trenutkov dostop do šifrirnega gesla uporabnika (saj ga le-ta vnese v obrazec na spletni strani).

Težava? Pravzaprav - da. Izkazalo se je namreč, da je kanadsko podjetje Hushmail na podlagi vzajemnega sporazuma o pravni pomoči med Kanado in ZDA ameriškim pravosodnim organom v začetku tega meseca izročilo dešifrirana elektronska sporočila kitajskega prodajalca steroidov.

V okviru primera U.S. v. Tyler Stumbo je tako prišlo na dan, da morajo kanadska podjetja z ameriškimi pravosodnimi organi sodelovati ravno tako kot morajo z njimi sodelovati ameriška podjetja, da uporaba strežniškega šifriranja na Hushmailu ni popolnoma varna, da zelo verjetno ni popolnoma varna niti uporaba šifriranja z Java appletom na odjemalčevi strani (saj lahko Hushmail svoj Java applet kadarkoli spremeni), predstavniki Hushmaila pa so tudi priznali, da beležijo IP naslove uporabnikov.

Skratka - zaščita, ki jo ponuja Hushmail nikakor ni popolna, saj ne omogoča pravega end-to-end šifriranja, kot ga na primer ponuja Firefoxov dodatek FireGPG, oziroma uporaba klasičnega šifriranja v poštnem odjemalcu.

Če do sedaj komu to še ni bilo povsem jasno...

7 komentarjev

Azrael ::

Aha...

Se bo moral folk naučiti, da ni zastonj kosila. Sicer ti zakoni obstajajo že kar nekaj časa.

Kot sem že večkrat napisal, tole lajnanje za anonimnost, kriptiranje in ostal PR crap na to temo je dobra tržna niša. Za nameček je povsrem enako kot v reklami: Z eno kapljico našega čistila boste pomili goro posode. Velik lari fari, samo za ene stvari folku potegne malo prej, za drugo kasneje ali nikoli.
Nekoč je bil Slo-tech.

MrStein ::

Spletni dostop do elektronske pošte ima veliko prednost - dostopnost iz kateregakoli računalnika s povezavo v splet in spletnim brskalnikom. Žal pa ima tudi veliko slabost - s pomočjo napada s posrednikom (man-in-the-middle) ali v primeru vdora v strežnik na katerem je shranjena elektronska pošta, lahko pride do kršitve tajnosti elektronske pošte.

Enako tudi pri ne-spletnem dostopu.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

VolkD ::

Anonimnost ? Ha ha ha hahaaaa.....

Ne morem da se nebi režal. Definitivno si bolj anonimen, če se sprehajaš po Ljubljani, pa čeprav pred policijsko postajo, kot pa na spletu. In to je jasno že nebroj let. Nick name je recimo zgolj dobra prevara samega sebe. Ker se mi zdi brezveze lagati sebi - VolkDarko.

Podobno je z vsem ostalim (pošta, forumi,...).
Se pa nehote postavlja vprašanje zakaj naj bi se anonimnost sploh potrebovala ? Odgovorov je verjetno več, kot jih lahko napišemo na forum.
Preden zaspiš zapri oči. Preden zapreš oči, ustavi avto.

christooss ::

Se pa nehote postavlja vprašanje zakaj naj bi se anonimnost sploh potrebovala ? Odgovorov je verjetno več, kot jih lahko napišemo na forum.


Aja?

Naštej vsaj 5.
Zakaj je nebo modro? Da imamo lahko sladoled Modro Nebo

poweroff ::

MrStein - tudi pri nespletnem dostopu lahko pride do kršitve tajnosti e-pošte, da.

Vendar se temu da izogniti. Kako?
a) pošto šifriraš lokalno
b) računalnik imaš ustrezno zavarovan
c) uporabljaš šifriran trdi disk, na katerem se nahajajo GPG ključi.

VolkD, o anonimnosti sicer ni bilo govora, bolj o tem, da so gospodje pri Hushmailu mirno prestregli passphrase.

No, jaz sem si pri njih že leta 1999 odprl account, vendar sem potem zadevo nehal uporabljati, ker mi je bilo kristalno jasno, da sam sistem ne omogoča varnosti. Zdaj se je to samo še sodno potrdilo.
sudo poweroff

poweroff ::

Bom jaz odgovoril. ;)

1. anonimnost je sestavni del zasebnosti
2. pri določenih zadevah je identiteta nepomembna (recimo ko v trafiki kupim časopis trgovcu ni treba vedeti kdo sem)
3. anonimnost je politična pravica, kot izhaja iz vsaj dveh odločb ameriškega Vrhovnega sodišča.
4. po eni odločbi Evropskega sodišča za človekove pravice si prometni podatki (anonimnost) zaslužijo enako stopnjo zaščite kot vsebina komunikacije (komunikacijska zasebnost), torej je anonimnost človekova pravica.
5. anonimnost nas varuje pred krajo identitete, torej pred kriminalnimi zlorabami in pred marketinškimi zlorabami.

Takole, na hitro. 8-)
sudo poweroff

christooss ::

Ups sej sem narobe prebral VolkDjev post. Sem mislil da piše: Ne rabimo anonimnosti. Se opravičujem :)
Zakaj je nebo modro? Da imamo lahko sladoled Modro Nebo


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Sodelovanje operaterjev komunikacij s tajnimi službami

Oddelek: Novice / Zasebnost
95393 (4401) poweroff
»

Ali je Hushmail še zaupanja vreden?

Oddelek: Novice / Zasebnost
84690 (3986) MrStein
»

Aretacija Dana Egerstada, ki je pred časom prestregel gesla številnih ambasad

Oddelek: Novice / Zasebnost
143084 (3084) Izi
»

220.000 dolarjev za 24 pesmi (strani: 1 2 3 4 5 )

Oddelek: Novice / Avtorsko pravo
21220853 (15647) Brane2
»

Kraja gesel ambasade

Oddelek: Novice / Zasebnost
154887 (3951) poweroff

Več podobnih tem