Két biztonságos e-mail szolgáltató is lehúzta a rolót, mert nem tudják felhasználóik adatainak biztonságát garantálni

Titkosítás, biztonság, privát szféra

A Lavabit biztonságos e-mail szolgáltatást kínált ügyfeleinek. A Lavabit újabban akkor került reflektorfénybe, amikor kiderült, hogy Edward Snowden egy lavabites e-mail címet (edsnowden@lavabit.com) használt.

Ladar Levison, a Lavabit tulajdonosa és üzemeltetője bejelentette, hogy hosszas mérlegelés után úgy döntött, felfüggeszti a szolgáltatás üzemeltetését. Mint írta, döntenie kellett, vagy bűnrészessé válik amerikaiak ellen elkövetett bűntettekben, vagy hagyja veszni a több mint 10 évnyi kemény munkával felépített szolgáltatást és bezárja azt. Utóbbi mellett döntött. Szerette volna, hogy törvényes keretek közt megoszthassa azokat az eseményeket, amelyek a döntés meghozatalára kényszerítették. Engedélyt kért a nyilvánosságra hozatalra, de nem kapott engedélyt.

Hogyan tovább? A bíróságon fog harcolni az alkotmányos jogaiért. Ha a bíróságon számára kedvező ítélet születik, akkor a Lavabit újjászülethet amerikai vállalatként. Addig is, amíg kongresszusi cselekvés nem történik az ügyben, vagy erős bírósági precedens nem születik, erősen javasolja, hogy senki se bízza privát adatait olyan vállalatra, amely valamilyen módon fizikai kapcsolatban áll az Egyesült Államokkal.

A Silent Circle (korábbi HUP cikk) szintén nyújt - egyéb más mellett - biztonságos e-mail szolgáltatást Silent Mail néven. A Silent Circle olvasta a Lavabit bejelentését és tudott olvasni a sorok közt.

Ezért a Silent Circle - ami ugyan még nem kapott eddig idézést, parancsot stb. egyetlen kormányzattól sem - úgy döntött, hogy leállítja Silent Mail szolgáltatását.

Részletek a Lavabit bejelentésében és a Silent Circle nyílt levelében.

( janoszen v | 2013. 08. 09., p – 10:48 )

Csak nekem van olyan steampunk filmes utanerzetem? Azokra gondolok, amik azt a jovot irjak le, amikor a szabadsag megszunt es valtozott a vilag, stb... remelem, ertheto, amit akarok mondani, a pentek reggeli fogalmazokam nem tul jo. ;)

( kandraska | 2013. 08. 09., p – 10:50 )

A kapitalizmus és a szabadság szele :)

Nem tudom. Számomra egyáltalán nem egyértelmű, hogy az erős titkosításhoz való jog valamiféle állampolgári alapjog volna.

Szerintem a normális emberek túlnyomó többsége semmi olyasmit nem csinál, amit egy titkosszolgálatnak érdemes lenne megfigyelni. Ha ellenben egy kevésbé normális ember éppen azon töri a fejét, hogy engem hogyan robbanthatna föl a 7-es buszon, hát azzal kapcsolatban meg arra bátorítanék minden illetékest, hogy figyeljék, de erősen.

Amúgy meg az átlagos állampolgárt egy csomó szervezet figyeli. Elemzik a hitelkártya adatait, vásárlói kártyákat bocsátanak ki, és figyelik a fogyasztási szokásait, és így tovább.

Furcsa módon ez ellen senki nem tiltakozik, sőt, önként igényli a megfigyeléséhez szükséges eszközt.

---
Science for fun...

Több csúsztatásból állítod össze az érveidet.

1) nem abból érdemes legtöbbször kiindulni, hogy a normális emberek hogy gondolkodnak és mit csinálnának - a problémák általában nem a helyes és logikus gondolkodások eredményei - te mehetsz az úton a kocsival körültekintően, ha egy barom direkt beléd akar menni szemből - ha van lehetőséged ennek kivédésére, de direkt feladod, akkor azt mondom nem értelek

2) nem csak szélsőséges esetek léteznek, úgymint halál, katasztrófa, hanem kisebb mértékű de a kisember számára szintén nagy problémát jelenthetők: ha teljes mértékben hozzáfér valaki minden dolgodhoz, akkor nem rajtad múlik már hogy sérülsz-e bármilyen módon és területen, hanem a hozzáférő jóindulatán - tetszik-e vagy nem, mindenképpen a hatalmad valamilyen szintű vesztésével jár

3) ma már az adat kibocsájtás _sajnos_ szükséges és ránk van kényszerítve - lépésről lépésre, apránként elérve mindezt, az úgy gondolkodók segítségével és beleegyezésével, akiknek ez nincs ellenére - feltehetjük-e a kérdést, hogy bizonyos esetekben létezik-e más, talán jobb megoldás? Pl. ha minket rendes polgárnak tart az állam, mert nincs bizonyítéka, akkor miért nem lehet a nagy webes levelezőkben támogatni a titkosítást? Tehát meg sem előlegezik a bizalmat? Vagyis mindenkit megbízhatatlannak tartanak alapból? Ez sem sértő?

Zavarna-e ha egy másik _rendes_ ember elkezdené megfigyelni és jegyzetelni hogy mikor, hol ás mit csinál a családod, meg egyéb módon mindent elkezdene tárolni rólad? Pl. megengednéd-e hogy bekamerázzák a lakásod minden zugát? Ha nem, akkor gondolkozz el hogy miért alapvető kérdés a magánszférához való jog és mennyire fontos, hogy milyen mértékben engedjük csorbítani azt. Illetve miért a rendes emberek kárára tegyék ezt úgy, hogy közben túlságosan nagy hatalmat adunk ezáltal megint csak másoknak?

Nem szélsőségekben kell gondolkozni, az a probléma elferdítéséhez jó csak. Ha olyan mértékű probléma lép fel, akkor már mindegy lesz ez a kérdés. Inkább egy rossz irányba induló folyamatot nem szabadna hagyni eljutni egy olyan szintre, amit tudunk hogy nem lesz jó.

Érdekes, de én is úgy érzem, hogy az érveid csúsztatásokat tartalmaznak. Azt hiszem, ez annak a jele szokott lenni, hogy a két fél elbeszél egymás mellett.

" nem abból érdemes legtöbbször kiindulni, hogy a normális emberek hogy gondolkodnak és mit csinálnának"

Bocsáss meg, de nem lehet, hogy én tulajdonképpen ugyanezt állítottam? Azt mondtam, hogy a titkosszolgálat azt fogja megfigyelni, akivel kapcsolatban ez neki "megéri", vagyis sejti az illetőről, hogy nem teljesen normális.

"tetszik-e vagy nem, mindenképpen a hatalmad valamilyen szintű vesztésével jár"

Szerintem ezt hívják társadalmi együttélésnek. Körülvesznek mások, akik adott esetben akár a segítségedre is lehetnek, de elvárják tőled, hogy ne mindig azt tedd, amihez éppen kedved szottyan. Amúgy meg csak megismételni tudom: lehet, hogy a Nagy Gonosz Szervezet technikailag megtehetné ugyan, hogy olvasgatja a leveleidet, de alapesetben a kutyát nem érdekli, hogy miről levelezel.

"Tehát meg sem előlegezik a bizalmat? Vagyis mindenkit megbízhatatlannak tartanak alapból? Ez sem sértő?"

Attól tartok, bizalom ügyében jelenleg a ló túlsó oldalán tartózkodunk. Beszélgettem egyszer egy helyszínelő rendőrrel, aki azt mondta, hogy Miskolcról jár Budapestre dolgozni. Némiképp csodálkozva kérdeztem, hogy Miskolcon ennyire nincs mit csinálni a rendőrségnek, vagy ez most hogy van. Azt válaszolta, hogy ez neki így nagyon jó. "Nem jó rendőrnek lenni ott, ahol az ember lakik."

Szerinted ez nem sértő a rendőröknek?

Most akkor a titkosszolgálatokat is juttassuk el erre a szintre?

És mikor fog továbbgyűrűzni az effektus? Mondjuk mikor jön el a "nem jó tanárnak lenni ott, ahol az ember lakik" korszak? Adsz egy karót matekból Pityukának, akinek az IQ-ja nem éri el a szobahőmérsékletet, de a felkarja vetekszik az ajtófélfával, aztán megnézheted magad.

---
Science for fun...

Más az ha mindent tudnak rólad ami a magánéletedben történik, kinek mit mondasz, mit írsz, mit veszel fel és más az, hogy tudják, hogy vettél három szelet sportszeletet a Julcsi Néni's ABC -ben.

Az pedig nem jogosít fel senkit megfigyelésre, hogy 1 millió emberből 1 elmebeteg. Az ilyeneket ki kell szűrni az iskolákban, munkahelyeken, köztereket AKÁRHOL de nem a magánszférában.

Apropóóó Hány merényletet sikerült megelőzni ezzel a megfigyeléssel? Kereken NULLÁT.

Az pedig nem jogosít fel senkit megfigyelésre (...)

A törvények jogosítják fel őket a megfigyelésre.

Apropóóó Hány merényletet sikerült megelőzni ezzel a megfigyeléssel? Kereken NULLÁT.

Érdekes információid vannak. (Az NSA vezetője szerint több, mint 50 alkalomról beszélt.)

50 alkalomról beszélt, de információ hiányában nem tudjuk, hogy:
- valódi fenyegetés volt-e (szubjektív, de mivel nem ismerjük az adatokat, minden csak feltételezés),
- petárdarobbantókról vagy ikertoronyrobbantókról van szó,
- elkezdtek róla ábrándozni vagy már éppen megnyomták volna a gombot,
- egy afgán nyomortelep szélén éltek, vagy egy amerikai kisváros ártalmatlannak látszó polgárai voltak.

És ha már utóbbi, a bostoni maratonon robbantó merénylőkről az orosz titkosszolgálat évekkel korábban értesítette az amerikaiakat, hogy vigyázzanak rájuk. A robbantás előtt meglátogatták a rokonságot, akikről az amerikaiak tudták, hogy a terroristagyanús kategóriában vannak. Ha olyan hatékony ez a megfigyelés ahogy állítják, akkor egy ilyen triviális esetet miért nem láttak előre? (ismert gyanúsítottak, valami megváltozott az utazásukkal, néhány környezeti jel...)

Mellékesen az NSA vezetője a Snowden botrány előtt, szenátusi eskü alatt vallotta, hogy nincs megfigyelés és adatgyűjtés amerikai állampolgárokról. Azóta ez minden tekintetben megcáfolódott, ha ennek az embernek a szavára hivatkozol, akkor ezt is vedd figyelembe.

Egyáltalán nem arról van szó, hogy én elhinném azt, amit az NSA vezetője mond.

Csak az a helyzet, hogy szerintem ha valaki állít valamit, akkor elvárható, hogy az állítását alá is tudja támasztani valamivel. Én nem állítottam semmit arra vonatkozóan, hogy ezek a megfigyelési programok hozzájárultak-e már terrortámadások megakadályozásához, vagy sem. A fenti kolléga állított megalapozatlan dolgokat ezzel kapcsolatban.

Gonolom jol fizet teged az a propaganda gepezet, ami arrol akar meggyozni mindenkit, hogy milyen jo is nekunk, hogy megfigyelnek lehallgatnak.

Birosagi jovahagyassal ezelott is le tudtak hallgatni barkit, meg is figyelhettek, na de hogy MINDENKIT lehallgassanak es figyeljenek ez mar nagyon nagy tulzas.

Es az nem erv, hogy a lakossag 99,9%-anak nincs semmi rejtegetnivaloja, nem terrorista stb, mert ennyi erovel akar kulcsot is adhatna mindenki a titkosszolgalatnak, ha nem vagy otthon had nezzenek mar korul nalad otthon a lakasodban, hazadban, hiszen ha nincs mit rejtegetned, nincs mitol tartanod, nem gyartasz bombakat, ugyse talalnak semmit. De azert majd havonta egyszer megallnak es atturjak a lakasod, hatha megis....

Nagy balfeknek kell lenni, aki helyesli ezt az egeszet, hogy hadd olvassak barki mail-jeit, had hallgassak le a telefonod, neted, mindent, mert hat ugye miert is ne.

"Gonolom jol fizet teged az a propaganda gepezet..."

Wow!!!! :-)

Na, bevallom, erre nem számítottam. Voltam már a HUP-on impotens, homokos, "ostoba", "Nagy Linux-harcos", nyelvbuzi, egyszer megkértem valakinek a kezét, de hogy ügynök.... Ez új. Jár a hangszóró.

---
Science for fun...

Amerikában nyolcszor nagyobb az esélye annak, hogy egy rendőr lő le, mint hogy egy terrorista áldozata legyél [1]. Ettől rettegni értelmetlen, ezért feladni a szabadságjogaidat felesleges.

Az sem érv, hogy a normális emberek túlnyomó többsége semmit rosszat nem csinál, tehát meg lehet figyelni. Ahogy írták mások is, asszimetrikus hatalmi helyzetet teremt [2] [3] [4], rengeteg fatális hibalehetőséggel, mindenféle megalapozottság nélkül. Hiszen ha nem csinál semmi rosszat, akkor felesleges megfigyelni, különösen akkor, ha ezzel a megfigyeléssel csak a baja származat, nem?

A negyedik linkből kiemelnék egy részletet:

"According to the police report, Boatright and Henderson fit the profile of drug couriers: they were driving from Houston, “a known point for distribution of illegal narcotics,” to Linden, “a known place to receive illegal narcotics.” The report describes their children as possible decoys, meant to distract police as the couple breezed down the road, smoking marijuana. (None was found in the car, although Washington claimed to have smelled it.)"

"The county’s district attorney, a fifty-seven-year-old woman [...] named Lynda K. Russell, arrived an hour later. Russell, [...], told Henderson and Boatright that they had two options. They could face felony charges for “money laundering” and “child endangerment,” in which case they would go to jail and their children would be handed over to foster care. Or they could sign over their cash to the city of Tenaha..."

Pusztán azért, mert illeszkedik rá egy profil, a hatalom azt mondta, hogy "fizess, vagy börtönbe kerülsz, a gyerekeid meg gondozásba". Nem volt bizonyíték, nem volt bíróság, nem volt semmi "normális" jogi folyamat. Mindez a szabadság, jog és egyenlőség földjén, merthogy olyan törvényt hoztak, ami mindezt jogszerűvé tette.

És még egy utolsó dolog: az hogy a hitelkártyád adait a hitelkártyacég látja, az nem tud számodra nagy kárt okozni. Igen, eladhatják törvénytelenül másnak, kideríthetik belőle hogy szereted a Túrórudit meg a vizipipát, de elég kemény szabályozások vannak arra, hogy maga a begyűjtő cég ne éljen vissza vele. Az állami / titkosszolgálati megfigyelésekkel kapcsolatban nincsenek ilyen szabályozások, és a természetüknél fogva nincsenek ellenőrzési lehetőségek sem.

[1]: http://www.washingtonsblog.com/2013/04/statistics-you-are-not-going-to-…
[2]: http://www.computerweekly.com/blogs/the-data-trust-blog/2009/02/debunki…
[3]: http://cyberlaw.stanford.edu/blog/2013/06/surveillance-myth-1-i-have-no…
[4]: http://www.newyorker.com/reporting/2013/08/12/130812fa_fact_stillman?cu…

"Amerikában nyolcszor nagyobb az esélye annak, hogy egy rendőr lő le, mint hogy egy terrorista áldozata legyél [1]."

Ez bizonyára így van, csak azt nem tudjuk, hogy mi következik belőle. Lehetséges interpretációk:

1. Amerikában nyolcszor több a rendőr, mint a terrorista.

2. Amerikában azonos a rendőrök és terroristák száma, de a terroristák nyolcszor rosszabbul céloznak, mert pocsék a kiképzésük, így nem tudják rendesen lelőni azt, akit akarnak.

3. Amerikában azonos a rendőrök és terroristák száma, de a rendőrök nyolcszor rosszabbul céloznak, mert pocsék a kiképzésük és a terroristák helyett folyton az ártatlanokat lövik le.

4. Amerikában boldog-boldogtalannak fegyvere van, ezért szerencsétlen rendőröknek nincs más választásuk, mint hogy előbb lőnek, aztán kérdeznek.

5. Amerikában boldog-boldogtalannak fegyvere van, kivéve a terroristákat. Lelőnének ők boldogan bárkit, pont mint a rendőrök, csak nincs mivel.

6. ...

Szép dolog a statisztika... :-)

---
Science for fun...

Szerintem a normális emberek túlnyomó többsége semmi olyasmit nem csinál, amit egy titkosszolgálatnak érdemes lenne megfigyelni

ez egy tokeletes vilagban talan megallja a helyet, de en nem feltetelezem allambacsirol, hogy korrekt, nem korrupt, es sosem hasznal fel ellenem valamit (a megfigyeles soran begyujtott adatok alapjan*), akar egy bevont 3. fel sem. Mert ugye ha en semmit nem csinalok, amit erdemes lenne megfigyelni, akkor nagy ugy, ha valami brutal eros kriptot hasznalok, hogy ne is tudjon mazsolazni a leveleimben?

Van ez a hires legkisebb jogosultsag elve, miszerint mindenki csak annyi jogosultsagot kap, ami a munkajahoz nagyon muszaj. Mivel en "semmi olyasmit" nem csinalok, igy ez az en esetemben 0. Szoval brutalisan nagy szukseg van egy end to end titkositott levelezesre. Remelem, mindenki elgondolkodik, hogy a google nagy teso meg a tobbi US szolgaltato alkalmatlan szenzitiv adatok** tarolasara.

*: itt nem kell semmit torvenytelenre gondolni, hanem mondjuk olyanra, hogy szidtam a rendszert. bar ki tudja, lehet, hogy ez 2 ev mulva mar visszamenolegesen buncselekmeny lesz...

**: itt sem kell semmi nagy dologra gondolni, hanem mondjuk olyan akciora, mint hogy "your eyes only" uzleti infok alapjan er hatrany teged. Gondoljunk pl. az USA minapi protekcionista anti-samsung vetojara.

Furcsa módon ez ellen senki nem tiltakozik, sőt, önként igényli a megfigyeléséhez szükséges eszközt.

Hagyjuk is azt a magas labdat, hogy ez egy ordas, tulzo es altalanosito csusztatas, hanem tegyunk kulonbseget az onkentes "adatszolgaltatas" (pl. shell-kartya hasznalat) es a titokban, sunyi modon vegzett kemkedes kozott. Mar csak az adatok kore es erzekenysege alapjan is.

Diktatorok kezikonyve

Szerinted hány tulajdonosban tudatosul, hogy a szupersopp kártyájuk valójában a fél százalékos kedvezményért cserébe lehetővé teszi, hogy éveken át kövessék a fogyasztási szokásait, amiből neki talán nem származik hátránya, de valójában a kártyát elfogadó cégek marketingesei helyett dolgozik?
Van akit persze akkor sem zavar, ha tisztában van vele.

Nekem nincs gondom abból, ha egy cég megfigyeli a vásárlási szokásaimat, amíg ez önkéntes és kapok cserébe valamit. Nem vásárlok olyant, amit ne vállalnék fel, de ha mégis, akkor max. nem adom oda a kártyát. A weboldalakon sincs gondom a célzott reklámokkal, amíg azok nem nyomulnak az arcomba: már több olyen terméket vásároltam így, ami egyébként elkerülte volna a figyelmem.

Nyilván ezt is ésszel és tudatosan kell csinálni.

-----
"Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben."
rand() a lelke mindennek! :)

Engem nem zavar, sőt azt preferálom, ha benne vagyok mindenféle statisztikai mintákban. Olyasmi ez, mint az országgyűlési választások: nyilván nem hallatszik ki a hangom a tömegből, de azért valahol ott van.
A lehallgatás, hívásadatgyűjtés, stb. viszont határozottan zavar, akármelyik állam részéről, olyan klubkártyát nem kértem, ahol ehhez járulnék hozzá.

Rossz hírem van, tudtommal egy rakat EU-s normát sért, vizsgálódnak is ez ügyben. (persze jól tudom mi lesz a vége..)

Én sem tudom, hogy az állampolgárok mikor adtak engedélyt az államnak az oktalan megfigyelésekre. Mellesleg úgy, hogy az én (Amerika esetén az amerikaiak) adótorifjaimat költik. Semmilyen felhatalmazást nem kaptak erre. Szép lassan, sunyiban adtak ennek a törekvésnek törvényi kereteket különböző ürügyekkel, ami engem felháborít.

"normális emberek túlnyomó többsége semmi olyasmit nem csinál, amit egy titkosszolgálatnak érdemes lenne megfigyelni." Ne haragudj, de a naivitásod könnyfakasztó.
Emlékeztetnélek, hogy a wikileaks aktákból kiderült például, hogy a 3 betűs szervezeteket élénken érdekli, hogy ki miben utazik. Legyen az cégvezető vagy politikus. Nem nehéz kitalálni mire lehet az így megszerzett információkat használni. Az ipari titkokról nem is beszélve.

Mellesleg megjegyezném, hogy ez a rendszer nagyon is emlékeztet engem, egy rég elmúlt korszak módszereire.. Szóval bagoly mondja verébnek, hogy nagyfejű :)

( csabezs | 2013. 08. 09., p – 11:21 )

Pedig nem is olyan rég pont ezt ajánlottam valakinek. (A nem kizárólag webes felület, meg még néhány más dolog miatt.)

( bird v | 2013. 08. 09., p – 11:23 )

Ez miért nem történik meg már a Google Maillel?
______________________
this comment is cc by-nc 2.5

( Hydro v | 2013. 08. 09., p – 11:28 )

Én azt nem értem, hogy miért kell bezárni?
Miért nem üzemeltetik tovább egy másik országból, ahol a szabályozás/szabályozó erő "kedvezőbb" ezen a téren?

( therion | 2013. 08. 09., p – 11:44 )

Szerette volna, hogy törvényes keretek közt megoszthassa azokat az eseményeket, amelyek a döntés meghozatalára kényszerítették. Engedélyt kért a nyilvánosságra hozatalra, de nem kapott engedélyt.

Ez azért kemény...

( tartyom | 2013. 08. 09., p – 14:32 )

Nevetséges... Kezdődik a fejlesztők megfélemlítése.

( strogg v | 2013. 08. 09., p – 15:37 )

Én szerintem meg a felhő szemléletnek egy halálos seb, ami nem azonnali ütőeres elvérzést okoz majd, hanem lassú szemléletváltásba megy át idővel. Az amerikaiak kötni fogják az ebet a karóhoz, az EU meg nem lesz képes előbb felállitani egy igazán versenyképes szolgáltatást halmazt ami hasonló súlyban lenne. Teszem azt igazából semmiféle szegmensben nem tudott konkurálni igazán. Én amondó vagyok, hogy két éven belül mindenki számára egyértelmű lesz, hogy amit felrak a netre azt esélytelen megvédenie, és igy múlik el a felhő mint megbizható szolgáltatásba vetett hit. Szerintem az IT jövőjének ez a lehetséges ága sorvadásnak indult, 5 éven belül pedig mindannyian azon fogunk élcelődni, hogy hogyan is gondolhattuk komolyan ezt annó. :) Snowden-t meg forduló pontként fogjuk emlegetni.
--

Az egésznek semmi köze a cloud-hoz, sokkal inkább az adatok védelmi szintjéhez. Egy publikus!!! cloud szolgáltatás tökéletes arra, hogy saját fotókat, dokumentumokat, zenéket, stb. tároljunk, hogy webes szolgáltatásokat futtassunk rajta (webshop, stb.) sőt, bizonyos esetekben még arra is, hogy a levelezést rajta tároljuk, amennyiben ez nem tartalmaz érzékeny adatokat. Amennyiben olyan adatunk van, amit nem akarunk külső szerveren tárolni, mert csak, akkor saját szervert kell használni ennek a tárolására, azonban biztosítani kell azt, hogy az egész zárt rendszert alkosson.

Azt remélem mindenki tudja, hogy a nemzetbiztonságiaknak minden egyes szerverteremhez elérésük van, az összes bejövő és kimenő forgalom átmegy rajtuk, és hogy ők mit csinálnak ezzel, azt rajtuk kívül senki sem tudja. Mindez nem USA-ban, hanem nálunk, és valószínűleg az összes többi országban.

A levelezés szolgáltatást valószínűleg azért szüntette meg a két cég, mert biztosítaniuk kellett volna, hogy az USA nemzetbiztonsági hatósága belenézhessen a levelezésbe. Erre joguk van, lévén a szerverek USA-ban vannak. Mivel ez technikailag sem volt megoldható - hiszen pont erről szólt a rendszer - jött a befenyítés (usa terroristaellenes törvények), és gondolom a srác úgy gondolta, hogy neki ebből nincsenek milliói, amit ügyvédre költhetne, úgyhogy inkább hagyja az egészet, és majd lesz valami.

Hajjaj, ezért én már kaptam egyszer itt :D
Pont olvasok egy könyvet privacy témakörben és elég érdekesek az összefüggések a Snowden üggyel.
Ha más nem, arra talán rávilágít, hogy az emberek legyenek óvatosabbak adataik kiadásával. Megfigyelés ezután is lesz, ebben továbbra is egyetértek veled.

( johans | 2013. 08. 09., p – 15:58 )

Azt tegyük hozzá, hogy a lavabit nem adta ki Snowden levelezését.

Itt tényként kezelik, de több más helyen utalnak a visszautasított Fed kérésre. Egyébként ha minden igaz, amit a lavabit ígért a felhasználóknak, akkor ha akarta volna sem tudta volna kiadni a levelezést, mert az tárolás előtt került titkosításra, csak a felhasználó kulcsával nyitható módon.

Ha igaz, amit a Lavabit ígért, akkor akár az is lehet, hogy nem utasított vissza semmit, hanem kiadta azt amije van. Ebből a 3 betűsek egy kukkot nem tudtak megfejteni (vagy ha valamilyen szinten tudnak is, csak vállalhatatlanul nagy költséggel + gyakorlatilag nem használhatják fel még áttételesen sem, mert kiderülne, hogy meg tudják fejteni). Ezért jött a felszólítás, hogy a Lavabitnek a jövőben kötelező legyen implementálni hátsó ajtót a szolgáltatásba -> szegje meg azt amit ígért, hazudjon a felhasználóinak.

Ezt példaértékű módon nem vállalta.
---
Régóta vágyok én, az androidok mezonkincsére már!

( Dolphy | 2013. 08. 09., p – 16:16 )

Valakinek van ötlete, hogy hogyan lehetne egy ilyen szervert összedobni linux-on?

Saját szerveren levelezel, SMTPS + POP3S.... Nem küldöd el a leveleket 3. félnek. Maximum feltörhetik a gépet és/vagy siffelhetik a hálózatot. Ez nem olyan egyszerű egy BIX-es kis cégnél, mert minden ügyfelet ismernek.

Az ejabberd képes TLS-t használni, chat is meg van oldva.

Nem lenne rossz kliens szinten letitkosítani a leveleket, valamit találtam a múltkor a villámcsirke kiegészítők között. Aki Outlook-ot akar használni az persze megérdemli.

A baj az, hogy a nyílt forráskódú közösségekbe beépült ügynökök (lásd OpenBSD esete) miatt bármely protokol tartalmazhat backdoor-t, amit csak 1-2 év után vesz észre valaki.

Értelemszerűen a fizetős oprendszerekbe akkor jönnek be, amikor akarnak.

Mindenesetre az adó hivatal és a barátnőd férje nem fogja tudni kikódolni a levelezésed :P .
Esetleg próbálkozhatsz a https://vmail.ru/ -val, ha inkább Putyin elvtárs csapatával akarod ezeket a dolgaidat megosztani.

---
Repeat after me: I Will Use Google Before Asking Stupid Questions...

( tartyom | 2013. 08. 09., p – 21:55 )

Részben ide tartozik és részben nem. Az Opera mail mennyire lehet megbízható, lévén hogy egy Norvég cégről beszélünk.

Engem is érdekelne az Opera mail, egy másik topicban megkérdeztem
Csak érintőlegesen illik ide de ezt olvastam:

http://www.napi.hu/magyar_vallalatok/forradalmi_megfigyelorendszert_fej…

Arcfelismerő és -azonosító megfigyelőrendszert fejleszt a magyar tulajdonú Young B.T.S. Kft.
A 243 millió forint állami támogatásban részesülő, egyedi képfeldolgozás és HW megoldásra épülő "A rendszerbe csatolt (IP) kamerák képein az emberi arcokat nagy pontossággal felismerni és azonosítani képes szoftver és eszköz fejlesztése" című kutatás-fejlesztési projekt 8 új munkahelyet teremt - közölte a társaság.
A 8 új munkahelyen felsírtam de ez így elég félelmetesnek hangzik nem?
Ez már majdnem 1983 és fél

( mynheer_gabor | 2013. 08. 10., szo – 16:29 )

A tormail még szóba jöhet, bár tisztában kell lenni a működési elvvel, hogy érjen is valamit.
szerk: a freedom hosting bedőlése miatt pont nem elérhető

Az Enigmailen kívül van olyan használható megoldás gpg-hez, amit átlag felhasználó is kényelmesen tud használni?
Az Enigmail tökéletes Thunderbirdhöz, de nekem kellene Outlookhoz, és webes levelezőhöz is. Mindkettőhöz csak félkész vagy régi verziókat támogató programokat találtam.
Amíg ezek nem lesznek megoldva, sosem terjed el... (egyre többen levelezünk mobilról is, ami újabb hátráltató tényező, ha nem támogatott platform)

Ezt találtam a napokban:
http://openpgpjs.org/
Azaz webes levelezőkhöz nem lenne túl nagy munka írni egyet, bár a privát kulcs biztonságos kezelése (bárhol kéznél legyen) újabb probléma forrás. (Én is azt várom, hogy más írja meg.)

Sokan írják, hogy egy becsületes embernek mi szüksége a titkosításra.
Pl én örülnék neki, ha a banktól, ügyvédtől, ... kapott levél alá lenne írva digitálisan (netán titkosítva is), hogy tudjam tényleg ők küldték. Talán alkalmas lenne bizonyos visszaélések visszaszorításra is.
Sokszor kell ügyfeleknek, kollégáknak jelszavakat, személyes adatokat küldeni. Kényelmes és megfelelő biztonságot jelentő megoldás lehetne, az emailek titkosítása.
Nincsen szükségem 100 évig garantálni a titkosságot, de a sima emailekhez képest jó lenne vmi előrelépés.

Pár évente rákeresek, hogy van-e már széles körben használható megoldás, de mindig azt látom, hogy a szolgáltatónak nem érdeke (pl a gmailhez írt kiegészítők elég rövid életűek szoktak lenni), mert akkor nem tudja elemezni a tartalmat, hivatalos szervek "beszólnak", jelentősen bonyolítja a használatot, ...

openpgpjs.org projectből készült roundcube plugin, de még nem sikerült életre lehelnem. Leírás szerint csak bemásolom, konfigba beírom a plugin nevét és kész. Ezzel szemben 500 error, log egy szál sem.
Majd ráveszem magam egy upgrade-re és meglesem utána is.

szerk.: upgrade megvolt, működik. Egy baj van vele, hogy tárolja a privát kulcsot, azaz nem csak a küldés idejére húzza be. Kilépés-belépés után ugyanúgy ott virít. Törölni kell használat után, ha biztonságban akarja tudni magát az ember, vagy a plugint módosítani, hogy kilépéskor törölje maga. Egyébként használhatónak tűnik, kezelhető.

Erre gondolsz?
http://trac.roundcube.net/wiki/PluginRepository/Encryption
Ezzel már próbálkoztam régebben, de én is elakadtam. Ezt is a félkész projektek közé sorolom.
Amíg nem lesz egyszerű a telepítés és a használat, nem lesz elérhető minden ismertebb levelezőben, addig nem fog elterjedni.
De utána is ott lesz az a probléma, hogy a használatához legalább nagy vonalakba meg kell érteni a titkosítás/aláírás/kulcsok/kulcs aláírása/... lényegét.

Igen, ez az. Semmi különös, új RC kell neki, utána csak bemásol, konfigban engedélyez, ennyi. Nem volt bonyolult.
Viszont van egy nagy turpissága, ami miatt gyorsan le is kaptam: nem kezeli a több fiókot. Tehát ha mondjuk a sajátodban beimportálsz egy privát kulcsot, akkor az marinéni fiókjában is megjelenik. Szóval ment a lecsóba a cucc, nem túl előnyös tulajdonsága ez, hogy mindenki használhatja a kulcsodat, akinek fiókja van a szervereden :D

szerk: elvileg HTML5 storage-ot használ a leírás szerint, de valahogy már nem bízom meg benne.

Észre nem venném, ha a szolgáltató beleírná a jelszó (kulcs) mentését egy levél küldés erejéig. Szóval ez is csak addig nevezhető biztonságosnak, amíg saját szerveren fut, amiben megbízunk. És akkor a másik félről még nem lehet tudni, mit használ, eltárolja-e a privát kulcsot... Plusz ez az apró tervezési hiba is :)

Túl sok szaktudást, korlátot és plusz "munkát" jelent a használata, ha tényleg maximalizálni akarja az ember a kulcs/jelszó védelmét. Bár ez általánosságba is igaz.

Általános esetben a biztonság nem javítható túlzottan, cserébe nem minden helyen, kliensen fér hozzá az ember a levelekhez, a privát kulcs elvesztésével az összes titkosított levélnek annyi,...

Eddig se volt gondom az emailben küldött jelszavakkal, ... :D

Az Enigmail az egyetlen használhatónak tűnő, kényelmes megoldás, a maga korlátaival.

Alapvetően tényleg az a gáz, hogy a kulcspáros megoldás natív kliens esetén még jól kezelhető, de webes esetén már nem, viszont ma már fűfavirág webes mait használ, így gyakorlatilag megölik a titkosítás lehetőségét.
Az Enigmail is GPG alapú, így kb. ugyanaz, mint egy random kliensbe belőtt kulcs. Max kényelmesebb felületet biztosít (fixme). TB alapból nem biztosít kulcshasználatot? Lehet, hogy nem értem az Enigmail pluszát.

Böngésző kiterjesztéssel megoldható (lenne) a kulcsok biztonságosnak mondható kezelése webmail esetén is, de az megint plusz programot jelent.
Már egy éve nem használok TB-t (kb a 0.7beta óta használtam). Szerintem alapból nem használható vele a gpg. Emlékeim szerint mindenképpen fel kell tenni a GnuPG-t és az Enigmailt.

Most találtam egy ilyet:
http://www.mailvelope.com/

Egész normálisnak tűnik, open source, van mindkét böngészőre.
Nekem csak melóhelyen van webmailem, otthon meg Evolution. Ami igaz, az igaz, jó lenne, ha nem kellene telepítgetni. Még a Horde lesz egy kör, állítólag az tudja ezt.

TB nem tud gpg használatot alapból.

A webmailt kiszolgáló cégben mindenképp meg kell bíznod, ezt nem tudod kiküszöbölni.

Szerintem kulcsok használata problémás egyszerű user esetében. Kell extra szoftver, amit telepíteni kell, meg be kell állítani, ami megint nem megy szaktudás nélkül. Eleve le kell szedni a többi ember publikus kulcsát is, hogy nekik is tudjon küldeni a user titkosított levelet, annyi nem elég hogy generál magának. Meg ha törlődik a kulcsa (mert a windowst őjra húzza neki szomszéd gyerek), akkor ha helyileg is titkosítva tárolta, bukta az addigi levelezését, de ha nem, akkor is rohadt problémás, hogy ha aláírták addig egymásnak a kulcsokat, most lehet revoke-olni meg újat generálni, meg biztonságosan kicserélni stb. Iszonyat bonyolult folyamat egy user szemszögéből. És akkor még nem beszéltünk arról, hogy a szakember aki segít neki, az is hibázhat.

Számomra egyértelmű, hogy egy erős jelszó sokkal jobb megoldás. Felírhatja a noteszába vagy az igazolványába beteheti. Nem helyileg védünk a kollégák ellen, hanem egyébként a publikus net ellenében elektronikusan általában.

Nekem ami nagyon szimpi és tényleg egyszerű megoldás, az az, ahogy a hushmail megcsinálta. Ha írsz egy levelet egy olyan user-nek, akinek nincs fiókja (és így a hushmail által generált vagy feltöltött kulcsa a rendszerben), akkor egy linket tesz a levelébe, amelyre kattintva elviszi a https-es hushmail oldalára, ahová egy jelszót kell megadnia, hogy elolvassa az üzenetet vagy hozzáférjen a csatolmányhoz. (A jelszót te adod meg a leveled küldésekor).

Rendkívül egyszerű és ötletes megoldás, amely átjárható marad.

Ezért fogok valszeg venni hushmail business fiókot a jövőben. Ennyi. Könyvelőmnek meg egyéb fontos kapcsolatoknak csatolva küldök cuccot azt kész, semmilyen átjárón nem megy át plaintext-ben meg nem kell kliens oldali szoftver a user oldalán.

Böngésző kiterjesztés esetén nem feltétlenül van rálátása a webmail szolgáltatónak a tartalomra. Cserébe a kiterjesztésbe, és a szomszéd gyerek újratelepítésekor végzet precíz munkába kell bízni :)

Ha szimplán a publikus net ellen kell a védelem, akkor maguk a szolgáltatók regisztrációkor legenerálhatnák a kulcsokat, a szakemberek maguknak otthon. Így lehetne szabványos megoldás, szembe a hushmaillel.
A felhasználók meg hamar megtanulnák, hogy csak a fontos leveleket titkosítják, mert egyébként nem fognak tudni keresni a levelekben (ez a korlátozás érthető lenne)...
A publikus kulcsok mehetnénk a szolgáltató független kulcs szerverekre, azaz hamar kiderülne kinek van, automatikusan betöltődne a levelezőbe, automatikusan ellenőrizve lenne az aláírás, ...
A levelező klienseket is hozzá kéne igazítani, hogy egyszerűen lehessen használni a szolgáltatók által generált kulcsokat és a sajátokat is.
Az átlag felhasználóknak minimális plusz ismeretre lenne szüksége az alap használathoz. Megnézve a mai gmail.com, outlook.com, komolyabb levelező kliensek szolgáltatásait, egy pici plusz lenne az egész. Ha magát a titkosítást a böngészőre, levelező kliensre bíznák, akkor még a szerver farmokat sem kéne megduplázni.

Mostanában úgy is annyira aktív a magyar Mozilla közösség, hogy igazán elindíthatnának vmi jól átgondolt szabványos projektet ezzel kapcsolatba.

Aki pedig az NSA ellen akar védekezni, az meg fogja a gpg forrást, megnöveli a beállítható max kulcsméretet, generál extra nagy kulcsot, és felhívja vele magára a figyelmet.

Nekem is az a bajom, hogy egy kliensben sem láttam még ezt úgy működni, hogy automatán meglesné a kulcsszerveren a címzett kulcsát és csak akkor visít, ha nincs neki. Ezzel szemben most az van, hogy ki kell keresnem, importálni, majd levelet írni. Ez egyszerűbb lenne, ha a send gombba lenne integrálva. Nem hiszem, hogy akkora nagy giga project kéne erre. Lekérdez (hibakezelés, ha nincs), importál, aláír, küld.
A marinéni nem tudja belőni érvre meg annyit, hogy kellene végre egy szabványos konf (akár XML-ben), amit megad marinéni a levelező kliensnek és belő mindent neki. Így akár még általánossá is válhatna a titkosítás használata, mivel nem kell bajlódni a párokkal.

Azért nem teszi meg automatikusan, mert egy akármilyen kulcs a szerveren még nem hiteles attól, hogy a kapcsolatod email címét adták meg benne.

Ez csak úgy tud hiteles lenni, ha ellenőriztétek egymás kulcsának ujjlenyomatát. Opcionálisan alá is írjátok egymás kulcsát. Ez utóbbi nem fontos, de az előző, vagyis ujjlenyomatot ellenőrizni alap. Ha nem tennéd, akkor én is csinálhatok XY nevében most gyorsan egy kulcsot és feltölthetem a kulcs szerverre.