Ali je Hushmail še zaupanja vreden?

Hushmail je spletni ponudnik e-pošte, ki omogoča pošiljanje PGP/GPG šifrirane elektronske pošte preko spletnega vmesnika. Pri tem uporablja poseben Java applet, ki omogoča šifriranje in dešifriranje na strani odjemalca.

Hushmail naj bi bil tako najbolj varen ponudnik e-pošte, vendar pa se je konec lanskega leta izkazalo, da je kanadsko podjetje Hushmail na podlagi vzajemnega sporazuma o pravni pomoči med Kanado in ZDA ameriškim pravosodnim organom izročilo dešifrirana elektronska sporočila svojega uporabnika. Predstavniki Hushmaila so kasneje tudi priznali, da beležijo IP naslove uporabnikov.

Te dni pa so pri Cryptome odkrili še nekaj nadvse nenavadnega.

Hushmail namreč na svoji spletni strani ponuja dostop do celotne izvorne kode svojega šifrirnega stroja, tim. Hush Encryption Engine. Koda vsebuje tudi Javanski program označen z različico 3-0-0-30, ki skrbi za izvedbo šifriranja.

Kar je nadvse nenavadno pa je dejstvo, da so pri Cryptome odkrili, da se javanska izvršilna datoteka, ki se naloži uporabnikom Hushmaila razlikuje od javanske izvršilne datoteke objavljene na spletni strani, obe datoteki pa sta označeni z isto različico.

SHA-1 kontrolna vsota na spletni strani objavljene prve je 0e6efd6b236cbb2a73049a65d6d9c5e23ac3d25b, SHA-1 kontrolna vsota javanske datoteke, ki se naloži uporabnikom pa 09e56f59a8392522543af1a1a95cb80729aa62c6.

Na Cryptome.org pravijo, naj bralci zaključke potegnejo sami, na Slashdotu pa že poteka živahna debata.

In kaj menite vi?