Hushmail ameriškim pravosodnim organom izročil šifrirne ključe uporabnika
Matej Kovačič
19. nov 2007 ob 12:39:28
Spletni dostop do elektronske pošte ima veliko prednost - dostopnost iz kateregakoli računalnika s povezavo v splet in spletnim brskalnikom. Žal pa ima tudi veliko slabost - s pomočjo napada s posrednikom (man-in-the-middle) ali v primeru vdora v strežnik na katerem je shranjena elektronska pošta, lahko pride do kršitve tajnosti elektronske pošte.
Leta 1999 pa se je pojavil spletni ponudnik elektronske pošte, ki naj bi ponudil rešitev tudi za to tržno nišo. Gre za kanadsko podjetje Hushmail, ki omogoča pošiljanje PGP/GPG šifrirane elektronske pošte preko spletnega vmesnika.
Hushmail namreč uporablja Java applet, ki omogoča šifriranje in dešifriranje na strani odjemalca. S tem na strežnik "prispejo" že šifrirani podatki, kar pomeni, da vdor ali vpogled v uporabniški predal ne razkrije vsebine e-pošte.
Vendar pa je nalaganje Java appleta razmeroma moteče, zato so pri Hushmailu leta 2006 ponudili možnost, da uporabniki uporabljajo šifriranje in dešifriranje na strežniški strani. S tem je uporaba PGP/GPG šifrirane e-pošte postala bolj enostavna. Vendar pa taka rešitev v praksi pomeni, da ima Hushmail za nekaj trenutkov dostop do šifrirnega gesla uporabnika (saj ga le-ta vnese v obrazec na spletni strani).
Težava? Pravzaprav - da. Izkazalo se je namreč, da je kanadsko podjetje Hushmail na podlagi vzajemnega sporazuma o pravni pomoči med Kanado in ZDA ameriškim pravosodnim organom v začetku tega meseca izročilo dešifrirana elektronska sporočila kitajskega prodajalca steroidov.
V okviru primera U.S. v. Tyler Stumbo je tako prišlo na dan, da morajo kanadska podjetja z ameriškimi pravosodnimi organi sodelovati ravno tako kot morajo z njimi sodelovati ameriška podjetja, da uporaba strežniškega šifriranja na Hushmailu ni popolnoma varna, da zelo verjetno ni popolnoma varna niti uporaba šifriranja z Java appletom na odjemalčevi strani (saj lahko Hushmail svoj Java applet kadarkoli spremeni), predstavniki Hushmaila pa so tudi priznali, da beležijo IP naslove uporabnikov.
Skratka - zaščita, ki jo ponuja Hushmail nikakor ni popolna, saj ne omogoča pravega end-to-end šifriranja, kot ga na primer ponuja Firefoxov dodatek FireGPG, oziroma uporaba klasičnega šifriranja v poštnem odjemalcu.
Če do sedaj komu to še ni bilo povsem jasno...