Heise - Deutsche Telekom je zaradi ameriškega prisluškovanja v aferi Prism začel iniciativo E-Mail Made in Germany, da bi se izognili ameriškemu vohljanju. Tako bodo najkasneje od začetka prihodnjega leta ves promet med svojimi strežniki in od uporabnikov do poštnih strežnikov šifrirali (SSL/TLS), s čimer bodo bistveno otežili prestrezanje. Poleg tega bodo poskrbeli, da se bodo vsi podatki obdelovali in hranili v Nemčiji, tako da NSA ne bo mogla dobiti odredb za njihovo razkritje.
Deutsche Telekom ima veliko uporabnikov, in sicer njegovo e-pošto uporablja 20 milijonov ljudi, še dodatnih 30 milijonov pa GMX in Web.de, ki bosta tudi vključena v iniciativo. Upajo, da se bodo iniciativi pridružili še ostali ponudnika e-pošte, recimo Freenet ali Arcor. Gotovo je, da se ji bosta hčerinski družbi Strato (Telekom) in 1&1 (United Internet).
Šifriranje pošte in povezav do strežnikov ni nič novega, saj Google SSL-dostop do svojih strežnikov za Gmail ponuja že dlje časa. V Deutsche Telekomu pa pravijo, da so se šele sedaj odločili za obvezno šifriranje, ker so zadnji dogodki pokazali, da je to pač nujno. Odzivi so mešani, saj politika in javnost ugotavljata, da gre za pravilen korak v pravo smer, a strokovnjaki opozarjajo, da pravzaprav niso izumili ali ponudili nič konkretno novega, ampak rešitve, ki so že dolgo časa na voljo in bi lahko bile že zdavanaj v uporabi. A bolje pozno kot nikoli.
Me zanima če kateri terorist uporablja navadno e-pošto. Ziher si med sabo zakodirajo maile med sabo, tako da se NSA lahko na glavo postavi. To so samo jajca za ovce
To je tako kot IPv6. Namesto, da bi rekli: "dovolj je IPv4, gremo na v6" bodo raje uporabljali obe tehnologiji in s tem povečevali stroške in brezvezne translacijske mehanizme ter najbrž je tudi varnost slabša zaradi tega.
S tem da sem ta teden "celi" teden na nemških TV novicah poslušal, da ima Merkolva zaradi Prisme in vedenja povezave z NSA - CDU probleme, po javnomnenjskih anketah, sestaviti bodočo vlado. ako se bo to nadaljevalo. Sedaj ima njena obstoječa koalicija cca 1% prednosti.
Po drugi strani SSL/TLS problem je v tem da ti rabiš imeti veljavni certifikat, ki ga bo zaupala druga stranka, torej prejemnik. Torej če imaš ti neke lastno generirane certifikate, še ni problem dokler se ta komunikacija omejuje med določenimi podjetij. Če pa rečeš za vse, pa pomeni, da ima do tega dostop tudi država. V končni fazi rabijo nekega skupnega zaupanja vrednega izdajatelja certifikata.
Pa dajte si že dopovedat, da je mail (e-mail) namenjen zgolj za obvestilo o podatku, ki pa se nahaja tem drugje.. Najbolj mi je všeč ko podjetje preide v oblačno e-pošto, potem pa ne spremeni poslovnega procesa, in se uporebniki obnašajo kot da je vse lokalno ???
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold
Po drugi strani pa ne veš al raje svoje "nepomembne podatke" zaupam korporaciji v US of A, ki z mano nima nobene veze kot pa da jih zaupam domači firmi, ki pa ti stoji dobesedno na drugi strani ceste. O šalabajzerstvu in korupciji mi pa za naš Slovenistan ni treba govorit ne?
To, da kriptiraš povezavo med pošiljateljem in mail serverjem, čisto nič ne pomaga, če je server v rokah vohljača, kar v primeru gmaila (pa tudi ostalih usa ponudnikov, pa seveda vseh podrepnih držav vključno z našo bananarijo) definitivno je. Je treba kriptirat samo sporočilo...
Da bomo zavarovali vsebino vaših pisemskih pošiljk, jih bomo med poštnimi poslovalnicami in logističnimi centri, kjer jih vse dosledno pregledujemo z rentgenskimi in morebitnimi drugimi tajnimi sledilnimi napravami katerih obstoja ne moremo ne potrditi, ne zanikati, od danes naprej prevažali z oklepnimi vozili.
Torej če (politično) prav razumem: Nemčija namerava vso komunikacijo prebivalstva na svojem ozemlju prisluškovati samo sama (strežniki ISP-jev so jim lahek plen), jenkije in druge pa se izrine iz tega korita. Res napredek.
Da bomo zavarovali vsebino vaših pisemskih pošiljk, jih bomo med poštnimi poslovalnicami in logističnimi centri, kjer jih vse dosledno pregledujemo z rentgenskimi in morebitnimi drugimi tajnimi sledilnimi napravami katerih obstoja ne moremo ne potrditi, ne zanikati, od danes naprej prevažali z oklepnimi vozili.
Razlika je v tem, da ne bo možno prisluškovanje s strani tretjih oseb. Sicer pa ne poznam zakonov, ki jih imajo glede retencije podatkov, kar pomeni da bodo mogoče še na slabšem.
You should never trust an email provider. We can't even trust the data lines going to/from said email provider (email is typically transmitted in plain text between email providers). You shouldn't trust any cloud services either (dropbox, lastpass, gmail, facebook, linkedin, twitter, reddit, etc...). You should only trust the services run by people who would sit in a jail cell on your behalf for violating a warrant for data on you.
Da bomo zavarovali vsebino vaših pisemskih pošiljk, jih bomo med poštnimi poslovalnicami in logističnimi centri, kjer jih vse dosledno pregledujemo z rentgenskimi in morebitnimi drugimi tajnimi sledilnimi napravami katerih obstoja ne moremo ne potrditi, ne zanikati, od danes naprej prevažali z oklepnimi vozili.
Razlika je v tem, da ne bo možno prisluškovanje s strani tretjih oseb. Sicer pa ne poznam zakonov, ki jih imajo glede retencije podatkov, kar pomeni da bodo mogoče še na slabšem.
Tujci, ki izvajajo obveščevalne dejavnosti na ozemlju tuje države brez izrecnega dovoljenja te države, so vohuni. Pri teh ni vprašanje "če lahko", temveč izključno vprašanje "ko ga najdemo".
Izven ozemlja države DT ne more zagotavljati varnega transporta, ravno tako tudi ne more zagotavljati varne hrambe. Obveščevalcem, ki delujejo izven ozemlja države, ta država tudi ne more nič.
Operaterji so v Nemčiji, podobno kot v Sloveniji, obvezani zagotoviti dostop do nešifriranih vsebin v skladu z lokalno zakonodajo. Uporabniki poštnih sistemov v Sloveniji, ki jih ne upravljajo operaterji (zgoraj omenjeni je en takšen) so primerjalno celo v boljšem položaju, ker ZEKom predpisuje obvezno hrambo podatkov o prometu in obvezo omogočanja prestrezanja izključno operaterjem javnih komunikacijskih omrežij, ne pa tudi ponudnikom storitve posredovanja elektronskih sporočil. Za to sicer pričakujem, da bo vlada (katera koli bo pač takrat aktualna) po kakšnem pranju možganov v kateri izmed "prijateljskih" držav tudi "sanirala".
Poteza, ki jo je izvedel DT je drag in cenen PR trik, ki ogroženost zasebnosti komunikacij v Nemčiji praktično ne zmanjšuje. Je pa uporaben za spodbujanje patriotizma in zakrivanje problema, da niso članice EU do svojih državljanov čisto nič bolj transparentne in "prijazne", kot pa ZDA do svojih. Oblačno računalništvo je pač denar in tukaj je prilika.
Kot je bilo že velikokrat napisano: če želiš, da vsebina tvojega dopisovanja ostane skrita pred vohljači, bo tvoj računalnik zapustila samo in izključno v šifrirani obliki.
A ima morda kdo link do kakega dobrega (podrobnega in dobro razloženega) tutoriala za postavitev lastnega mail serverja na Linux platformi?
Linka ravno nimam, je pa knjiga The book of Postfix odlična. Za razliko od O'Reilly-jeve, ki je skret. Drugače pa poguglaj za postfix virtual mailbox ter potencialno še debian, dovecot
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Da bomo zavarovali vsebino vaših pisemskih pošiljk, jih bomo med poštnimi poslovalnicami in logističnimi centri, kjer jih vse dosledno pregledujemo z rentgenskimi in morebitnimi drugimi tajnimi sledilnimi napravami katerih obstoja ne moremo ne potrditi, ne zanikati, od danes naprej prevažali z oklepnimi vozili.
Vaša zasebnost nam je pomembna.
Nekako tako je stvari povzel nemški chaos computer club, ja.
priporočajo s/mime ali openpgp. s tem, da mora isto prej podpirati tudi naslovnik, drugače je itak brezveze.
Tujci, ki izvajajo obveščevalne dejavnosti na ozemlju tuje države brez izrecnega dovoljenja te države, so vohuni. Pri teh ni vprašanje "če lahko", temveč izključno vprašanje "ko ga najdemo".
Zato se govori, da je NSA sodelovala z BND (nemška varianta NSA)?
Izven ozemlja države DT ne more zagotavljati varnega transporta, ravno tako tudi ne more zagotavljati varne hrambe. Obveščevalcem, ki delujejo izven ozemlja države, ta država tudi ne more nič.
Saj si sam povedal, da ti varni transport bolj malo koristi.
Zato se govori, da je NSA sodelovala z BND (nemška varianta NSA)?
Sodelovanja med posamičnimi obveščevalnimi službami niso nič nenavadnega ali spornega. Vedno je namreč govora o konkretni skupni nevarnosti, omejenem času in omejenih pristojnostih. BND npr. ne bo pustila, da se agenti NSA brez pooblastil preseravajo po Nemčiji (kar je konec koncev po nemških zakonih kaznivo), temveč se bodo lepo dogovorili kaj je potrebno in kdo ima do tega dostop, potem pa si medsebojno izmenjajo zanimive podatke.
Tu gre verjetno za nateg javnosti in kontrolo škode. Vsi so imeli dogovorno prste v marmeladi, sedaj pa so se zmenili da bodo ameri, glede na to, da je petarda počila pri njih, edina baraba, ostali so bili nedolžne deklice.
Ker se bo folk sedaj izogibal američanom, jih je treba privabiti v nemško podružnico.
To ti je podobno kot una zgodba o nacionalnem interesu Telekoma(s katerinm bi se celo strinjal, če bi bil pravi nacionalni interes) Janka Vebra na Studiu City, češ da nam tujci lahko še bolj vohunijo. Potem ga pa voditelj vpraša, če je kaj boljše če ti zato vohuni domačin pa je kar malo onemel.
V primeru, da za teboj vohuni domačin na domačih tleh, imaš na voljo domačo zakonodajo.
Stvari postanejo zabavne tisti trenutek, ko z veseljem pošiljaš svoje podatke čez mejo v hrambo nekomu tretjemu. Ni kotrole, ni zabave.
Še bolj postanejo zabavne, ko nekdo tvoje podatke brez pameti in razmisleka pošlje v obdelavo nekomu tretjemu čez mejo. Ga ni zakona ali paragrafa, ki bi ga lahko potem povlekel iz rokava, če se bi neka tuja a še vedno EU država potem odločila, da v času, ko so podatki pri njej, po njih malo pogleda, če ji zakon to omogoča.
DT dela PR stunt, da bo dobil čim več strank. Pa ne v smislu, da jih bo pobral ameriškim podjetjem - za ta so te stranke že izgubljene - temveč, da jih bo pobral svoji lokalni konkurenci, ki se ravno tako puli za te iste uporabnike, ki sedaj iščejo rešitve v domačem okvirju.
Za nekoga, ki ni iz Nemčije je pomembno predvsem to, da se zaveda, da iz vidika nadzora nad lastnimi podatki, ni kakšne posebne razlike med Nemčijo in ZDA. O, ja. Standardi varovanja osebnih podatkov so v Nemčiji za zasebna podjetja višji. Pravice države, da vohlja po podatkih tujcev pa nič manjši. Če si fizična oseba, potem ne vidim kakšne velike razlike, če si pomemben poslovni subjekt... potem pa pomembnih poslovnih podatkov ne bi spuščal niti iz hiše, da se bi obdelovali pri komu drugemu. Kaj šele iz države.
Pri nas (ne v naši službi) se namreč ravno na veliko fantazira o tem, da bi šlo vse v nek "government cloud". Ki bi ga seveda upravljalo privatno podjetje.
Drugače je pa takole. E-mail je iz stališča varnosti broken by default. Problem je, ker morata oba partnerja v komunikaciji uporabljati šifriranje, kar je v praksi velika težava. Dodaten problem je, da se prometni podatki ne šifrirajo.
Treba bi bilo uvesti povsem nov protokol. Kar je pa stvar desetletij.
Kot je bilo že velikokrat napisano: če želiš, da vsebina tvojega dopisovanja ostane skrita pred vohljači, bo tvoj računalnik zapustila samo in izključno v šifrirani obliki.
- pa da bo tudi na tvojem računalniku shranjena samo in izključno v šifrirani obliki, - pa da za šifriranje uporabljaš softver ki ni made in USA in je open source, - pa da presneto dobro paziš da nimaš na svojem računalniku kakšne vohljaške zalege in spremljaš kateri programi "telefonirajo domov"... Dejansko bi bilo treba izkoristit moment za to da nehamo z "e-dopisnicami" in enkripcija vsebine pošte končno postane normalna reč. Žal je za pričakovat polena pod noge od vseh mogočih vlad, ne le ameriške.
Brezupno. Edini recept, ki bi pomagal kateri koli državni upravi pri ustreznem ravnanju z osebnimi podatki so individualne globe za odgovorne osebe v primeru izgube običajnih osebnih podatkov (in sicer po sistemu množenja glove za vsako osebni podatek) in kazenski pregon s kaznijo od 1 do 3 leta za izgubo občutljivih osebnih podatkov.
V primeru, da se podatki izgubijo pri pogodbenem obdelovalcu, je odgovorna oseba tista oseba, ki je pri upravljalcu podpisala pogodbo ali kateri koli drug dokument, ki je bil podlaga za prenos podatkov. Če takšnega dokumenta ni, bo kaznovan kurir.
Pri nas (ne v naši službi) se namreč ravno na veliko fantazira o tem, da bi šlo vse v nek "government cloud". Ki bi ga seveda upravljalo privatno podjetje.
Imam malo rabljen oblak na prodaj. Cena, sitnica.
V splošnem ne vidim bistvenega zadržka za državo, da uporabi oblačno storitev, če je ta storitev locirana v sami državi in je podjetje v večinski lasti (posredni ali neposrednih) lastnikov, ki so državljani te države.
Za zasebno podjetje je problematično, če po njenih podatkoh rofka država, ne da bi podjetje za to vedelo. Nižanje standarda varnosti. Kriminalisti lahko podatke od podjetja pridobijo z odredbo sodišča, vendar pa je tukaj hakeljc: če so podatki shranjeni v podjetju, je podjetje o temu obveščeno (in dolžno sodelovati). Če so podatki shranjeni izven podjetja, potem oseba, ki jih hrani, o zasegu potencialno sploh ne sme nič nikomur omeniti.
Za podatke države je največja težava, če do teh podatkov pridejo druge države. Kar pa načeloma zadržujejo uzance od zgoraj. Kako pa biti pri temu skladen s morebitnimi zahtevami EU, da ne smeš diskriminirati tujih ponudnikov, pa ne vem.
Treba bi bilo uvesti povsem nov protokol. Kar je pa stvar desetletij.
Ni. Če bi takšen protokol izpolnjeval vse nujne zahteve za uspeh, bi bila njegova uvedba stvar leta ali dveh. Nujne zahteve za uspeh pa so: 1) enostavna interoperabilnost formatov in komunikacij 2) neodvisnost protokola od prenosnega omrežja 4) zagotavljanje močne avtentičnosti (z integriteto) 5) zagotavljanje močne anonimnosti (z integriteto) 6) brez zahteve za centralizirane sisteme
Ko imaš to, imaš nekaj boljšega od RFC2822, kar je lahko enako razširjeno kot RFC2822.
Kako boš rešil nasprotujoče si zahteve, mi ni jasno. Vendar brez izpolnjevanja vseh teh točk ne boš dobil rešitve, ki bi bila boljša od RFC2822, temveč slabša ali v najboljšem primeru enaka.
Mene pa zanima s kakšno opremo bodo promet šifrirali. Če je to spet kaj od kakšne ameriške firme potem ima spet kje kakšna skrita vrata, od katerih imajo spet ameri ključe. Glede na to kaj vse tule piše, da zahtevajo FBI takšne stvari se temu nebi čudil. No saj ne rečem, da so drugi kaj boljši oziroma bolj pošteni.
Never trust a computer you can't throw out a window
Me zanima če kateri terorist uporablja navadno e-pošto. Ziher si med sabo zakodirajo maile med sabo, tako da se NSA lahko na glavo postavi. To so samo jajca za ovce
Če bi jaz bil terorist, bi si sprogramiral svojo zadevo. Ali live chat, ali kaj drugega. Live chat sem na Linuxu s pomočjo socketov že naredil. Zadeva bi šifrirala, (s tem, da bi še svoje črke imel, ki jih net ne bi nikoli "videl"), ki bi pomenile različno, glede na postavitev v povedi in še mogoče različno še glede črko pred in za njo (ali pa še to variabilno). To sem si izmislil v sekundi, če bi potreboval kaj res robustnega, bi si pač vzel malo več časa za premislek.
Pa bi lahko oni prestrezali koliko bi hoteli.
Za zdaj mi pa gre samo na živce, ker sledijo vsemu, kar napišem
Drugače je pa takole. E-mail je iz stališča varnosti broken by default. Problem je, ker morata oba partnerja v komunikaciji uporabljati šifriranje, kar je v praksi velika težava. Dodaten problem je, da se prometni podatki ne šifrirajo.
Problem ni v tem da ni varen, temveč da ga ljudje jemljejo kot varno zadevo.
Se ti ne potrka NSA, potrka ti neka slovenska agencija. EU sedaj uporablja NSA in amerje kot izgovor, toda ko se je pokazal samo sum, da je na letalu Snowden (po amerjih sedaj označen morilec), so pa predsedniško letalo preusmerili, kateri že... Kaj boš pa sedaj naredil ?
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold
Če bi jaz bil terorist, bi si sprogramiral svojo zadevo. Ali live chat, ali kaj drugega. Live chat sem na Linuxu s pomočjo socketov že naredil. Zadeva bi šifrirala, (s tem, da bi še svoje črke imel, ki jih net ne bi nikoli "videl"), ki bi pomenile različno, glede na postavitev v povedi in še mogoče različno še glede črko pred in za njo (ali pa še to variabilno). To sem si izmislil v sekundi, če bi potreboval kaj res robustnega, bi si pač vzel malo več časa za premislek.
Odlično. Izmislil si si v sekundi, ko bi se lotil programiranja, bi pa šele videl, da resna in varna implementacija tega nikakor ni enostavna.
Svoje črke... ne me hecat. Za substitucijske algoritme si že slišal, ne?
Me zanima če kateri terorist uporablja navadno e-pošto. Ziher si med sabo zakodirajo maile med sabo, tako da se NSA lahko na glavo postavi. To so samo jajca za ovce
Če bi jaz bil terorist, bi si sprogramiral svojo zadevo. Ali live chat, ali kaj drugega. Live chat sem na Linuxu s pomočjo socketov že naredil. Zadeva bi šifrirala, (s tem, da bi še svoje črke imel, ki jih net ne bi nikoli "videl"), ki bi pomenile različno, glede na postavitev v povedi in še mogoče različno še glede črko pred in za njo (ali pa še to variabilno). To sem si izmislil v sekundi, če bi potreboval kaj res robustnega, bi si pač vzel malo več časa za premislek.
Pa bi lahko oni prestrezali koliko bi hoteli.
Za zdaj mi pa gre samo na živce, ker sledijo vsemu, kar napišem
Ni problema. Ircd maš samo ssl, lahko tudi pod geslom/ip lock, mislim je dovolj v helpih da si naštimaš kot hočeš. Fish je pa tak al tak ok. Na koncu je še vedno oseba x je povezana na y. Data retention FTW.
Ontopic:
Bodo .de email ponudniki podpirali "pozabil sem geslo?" ;)
Če bi jaz bil terorist, bi si sprogramiral svojo zadevo. Ali live chat, ali kaj drugega. Live chat sem na Linuxu s pomočjo socketov že naredil. Zadeva bi šifrirala, (s tem, da bi še svoje črke imel, ki jih net ne bi nikoli "videl"), ki bi pomenile različno, glede na postavitev v povedi in še mogoče različno še glede črko pred in za njo (ali pa še to variabilno). To sem si izmislil v sekundi, če bi potreboval kaj res robustnega, bi si pač vzel malo več časa za premislek.
Odlično. Izmislil si si v sekundi, ko bi se lotil programiranja, bi pa šele videl, da resna in varna implementacija tega nikakor ni enostavna.
Svoje črke... ne me hecat. Za substitucijske algoritme si že slišal, ne?
Enostavno oziroma zakomplicirano je lahko ravno toliko, koliko si sam zastaviš. Če bi bila potreba, da bi se tega lotil, potem me to, da ni enostavno, sigurno ne bi odvrnilo od namere, da to izpeljem.
Pri nas (ne v naši službi) se namreč ravno na veliko fantazira o tem, da bi šlo vse v nek "government cloud". Ki bi ga seveda upravljalo privatno podjetje.
Oprosti, ker mi je vzelo toliko časa, da sem jo našel.
V glavi imam sledeče tri aksiome: - Slovenija nima od tuje infrastrukture neodvisnega ponudnika oblačnih rešitev za javne uprave, ne glede na kategorijo rešitev. - Oblačna rešitev, ki je na kakršen koli način povezana s tujino (tuje podjetje, podjetje pod nadzorom oseb iz tujine ali infrastrukturne komponente v tujini), je izpostavljena nevarnosti prestrezanja v tujini. - V smislu pravnih okvirjev, ki se varnostnih (obveščevalnih in preiskovalnih) dejavnosti držav, so tudi članice EU še vedno "tujina".
Vmesna posledici aksiomov: - V odsotnosti domačega tekmeca, bo lahko zmagovalec za "GovCloud" samo tuj ponudnik, ponudnik pod operativnim nadzorom oseb iz tujine ali pa ponudnik, ki bo preprodajal tujo infrastrukturo. - V smislu varnosti podatkov pred posegi tretjih oseb, efektivne razlike med tujim ponudnikom, ponudnikom pod operativnim nadzorom oseb iz tujine in ponudnikom, ki preprodaja tujo infrastrukturo, ni.
Posledice (logične izpeljave) zgornjih treh aksiomov in vmesnih posledic so omejene in opredeljujejo sledeče možne rešitve: - Do prenosa obdelave podatkov k tretjim osebam ne pride zato, ker ustrezno varne rešitve ne predstavljajo oblačnih rešitev in se z njimi ne more realizirati prihrankov, ki se jih asociira z oblačnimi rešitvami. - Pride do prenosa pristojnosti za obdelavo podatkov, vendar ne k ponudniku z oblačno storitvijo, kvečjemu s storitvijo, ki nosi takšno ime. Dobimo še eno "hišno firmo". - Pride do prenosa pristojnosti za obdelavo podatkov ponudniku z pravo oblačno storitvijo. Ta ponudnik je tesno povezan s tujino, varnost podatkov ni zagotovljena in se je ne da operativno nadzorovati, saj je sledljivost obdelav v oblačni storitvi odvisna izključno od upravljalca oblačne storitve.
Torej, damned, more damnemd, cloud.
"EU cloud computing", kot si ga je zamislila N. Kroes v Davosu l. 2011 te enačbe ne bo spremenil.