Kedves Fórumozók,
A véleményeteket szeretném kérni.
Szeretnék találni egy gyakorlatban egyszerűen használható módot arra, hogy sima egyszerű felhasználóknak titkos üzenetet vagy fájlokat küldhessek. Volt mostanában hasonló téma. Nem szeretnék kulcsokat használni, csupán jelszavakat. Cél még hogy sima web alapú legyen és ne kelljen user oldalon semmit telepíteni vagy beállítani. Akár egy tábla gépen is megkaphassa a fájlt vagy üzenetet.
Sok kutatás után az kezd körvonalazódni nekem, hogy 3rd party-ban való megbízás nélkül nem egyszerű megoldani ezt ilyen feltételekkel. Az általam talált eddigi legjobb és működő megoldás titkosított üzenethez: https://cryptobin.org
Habár sima szöveg titkosításra van sok hasonló szolgáltatás, ebben megfelelő hogy csak kliens oldalon titkosít javascript-tel és ssl-en kapcsolódik, illetve hogy egyszerű a felület. De még itt is meg kell bízni a szolgáltatóban, mert habár a szerverén csak titkosítva tárolódik az adat és tegyük fel hogy használat előtt átnézem a js kódot és tárolok hozzá hash-t és ezt ellenőrzöm is mindig, azt nem tudom biztosítani, hogy amikor a user megnézi, akkor nem egy másik js kódot kap, amely elküldi a user által beírt jelszót a szervernek, hogy az adat mások által is kibontható legyen.
Ha megbízok a szolgáltatóban, akkor az üzenet küldés megoldva és bármilyen platformon bármilyen email szolgáltatóval használható. A fájl küldés még ekkor is kérdés. Ehhez küldhetnék egy linket a user-nek titkosítva, ahol a linkben a fájlnév random lenne. Itt még azzal van a gond, hogy a get kérés is kimegy publikusan és még a user előtt más is letöltheti - legalábbis meg van rá az esély. Lehetne apache auth-ot használni, de ez már kezd a használható kategóriából kiesni.
Kérdésem lenne hogy milyen jó megoldás létezik? Ti mit használtok titkosított zip-en, rar-on meg hasonlókon kívül?
Köszönöm.
Hozzászólások
Igaz , hogy telepíteni kell user oldalon de transzparens
Google drive + encfs
--
maszili
Ha már telepítünk, akkor bármi megoldható, akár egyszerűbb is. Úgy lenne igazi értéke a dolognak, ha nem kellene.
Eszembe jutott még egy megoldás.
Le lehetne fejleszteni egy tisztán JavaScript megoldást, ahol a szerveren futó szolgáltatásnak egy link lenne átadva arra a már betitkosított fájlra vagy szöveg fájlra, amit át akarunk adni a user-nek. A weboldalon bekérjük a jelszót, és ha szöveg, akkor megjelenítjük, ha fájl, akkor meg kiküldjük letöltésre. Péld a linkre:
https://site.com?p=https://drive.google.com?.......4ab434fe4.txt.gpg
Titkosításhoz ez:
http://openpgpjs.org
Így egyetlen HTML fájl lenne maga a megoldás a beágyazott JS-el, és nyílt forrásúként kitéve bárki könnyen hosztolhatná. Akár ingyenes szolgáltatóknál is statikus módon.
Mivel külső linkeken elérhető tartalom lenne átadva, a storage sem lenne gond. Tehát az egyszerűségénél fogva könnyen hostolhatja bárki, így is növelve a megbízhatóságot. Kizárhatnánk a 3rd partyban való megbízás kényszerét is.
Vélemény?
Szerk.: további kiegészítés az ötlethez:
A küldendő titkosított szöveg lehetne simán betéve az url-be paraméterként - mivel 2000 karaktert minden elfogad és ez sok infó sima rövid titkosított üzenethez, ezért a titkosított szöveg base64-es kódolással mehet az url-be, ahhoz meg tetszés szerint használható url rövdítő szolgáltatás akár.
A legenerált link kinézhetne valahogy így:
https://site.com?q=dQR9tPC5iGzoFKFSOccB0rR9NYBsz+coGJ4a0FCAnnDSW0
Szerk2:
Lehetne a HTML oldalon usernév is a jelszó mellé, így az egyszer megbeszélt jelszót a felhasználó megjegyeztethetné a böngészőjével tetszés szerint. Ha elveszik az sem gond, a cél a titkos infó egyszeri célba juttatása. A usernevet pedig betenné a JS kód a generált URL-be, így azt a usernek nem kell begépelnie a túloldalon, hanem a JS kód megjelenítené.
Persze ha van paraméter, akkor a JS kód kicsomagoló oldalt generál, egyébként mutatja a titkosítási lehetőségeket, vagyis: 1 textarea a szövegnek, 1 textbox a jelszónak + 1 gomb, melyre legenerálja az URL-t.
Arról hogy hogyan lehet megbizonyosodni user oldalon a kapott titkos infó hitelességéről hogy tényleg az küldi-e akitől várta, ehhez a titkosított szöveg végére elhelyezhető a küldő által egy kulcsszó, melyet a másik oldal is ismer, pl. tábla. Tehát a jelszó és a kulcsszó ismeretében az azonosítás és a kibontás is megtehető.
Ha fájlt küldünk, akkor megoldani azt, hogy mellékelt titkos szöveg mindig küldhető legyen.
Egy kezdeményezés: https://unsene.com/
Nincs biztosítva technológiailag, hogy a szolgáltatást adó harmadik fél nem fér hozzá a kommunikációhoz - csak ígéretet tesz rá hogy törli. Ilyenből sok van.
A kommunikációhoz mindig hozzáférnek és jellemzően 256bites AES a titkosítás módja. Csak azért említettem meg a kezdeményezést, mert ugyanazt csinálja, mint amit te szeretnél. (Kliens oldalon titkosít javascripttel.)
Ha így van, akkor természetesen érdekes lehet a dolog. A főoldalon leírtakból nem derült ez ki számomra.
Meg fogom nézni.
"We don't participate in the NSA's PRISM program."
És ez egész addig így lesz, amíg el nem érnek egy kritikus tömeget, amikor az NSA felkeresi őket, és tesz egy üzleti baráti ajánlatot.
A hostoló ország törvényeivel nem mehetnek szembe. Az a kérdés, hogy mely országban vannak az adatcserét folytató szerverek, és az ottani szabályozás mit ír elő.
Persze ez akkor is olyan, hogy ha akarják úgyis vagy megszerzik az adatokat vagy bezárják a szolgáltatást, terrorizmusellenes megfontolásokból.
A kommunikációhoz mindig hozzáférnek (nem számítanak a törvények), az internet nyilvános csatorna. Azt is tudják, hogy ki mikor mit forgalmazott. Én úgy értelmeztem a témát, hogy csak az a cél, hogy a "mit forgalmazott" dolgot nehezebb legyen megismerni. Ha valóban kliens oldalon van a titkosítás megbízható programmal és klienssel, akkor több időbe telik megismerni a tartalmat. A szolgáltatás bezáratása természetesen működhet de ez irreleváns. (Az internetet is leállíthatják.)
Az általam talált eddigi legjobb és működő megoldás titkosított üzenethez: https://cryptobin.org
ez a cryptobin.org nagyon nem biztonságos a jelenlegi formájában... ne használd!