Titkosított üzenet és/vagy fájl küldése

Security-all

Kedves Fórumozók,

A véleményeteket szeretném kérni.

Szeretnék találni egy gyakorlatban egyszerűen használható módot arra, hogy sima egyszerű felhasználóknak titkos üzenetet vagy fájlokat küldhessek. Volt mostanában hasonló téma. Nem szeretnék kulcsokat használni, csupán jelszavakat. Cél még hogy sima web alapú legyen és ne kelljen user oldalon semmit telepíteni vagy beállítani. Akár egy tábla gépen is megkaphassa a fájlt vagy üzenetet.

Sok kutatás után az kezd körvonalazódni nekem, hogy 3rd party-ban való megbízás nélkül nem egyszerű megoldani ezt ilyen feltételekkel. Az általam talált eddigi legjobb és működő megoldás titkosított üzenethez: https://cryptobin.org

Habár sima szöveg titkosításra van sok hasonló szolgáltatás, ebben megfelelő hogy csak kliens oldalon titkosít javascript-tel és ssl-en kapcsolódik, illetve hogy egyszerű a felület. De még itt is meg kell bízni a szolgáltatóban, mert habár a szerverén csak titkosítva tárolódik az adat és tegyük fel hogy használat előtt átnézem a js kódot és tárolok hozzá hash-t és ezt ellenőrzöm is mindig, azt nem tudom biztosítani, hogy amikor a user megnézi, akkor nem egy másik js kódot kap, amely elküldi a user által beírt jelszót a szervernek, hogy az adat mások által is kibontható legyen.

Ha megbízok a szolgáltatóban, akkor az üzenet küldés megoldva és bármilyen platformon bármilyen email szolgáltatóval használható. A fájl küldés még ekkor is kérdés. Ehhez küldhetnék egy linket a user-nek titkosítva, ahol a linkben a fájlnév random lenne. Itt még azzal van a gond, hogy a get kérés is kimegy publikusan és még a user előtt más is letöltheti - legalábbis meg van rá az esély. Lehetne apache auth-ot használni, de ez már kezd a használható kategóriából kiesni.

Kérdésem lenne hogy milyen jó megoldás létezik? Ti mit használtok titkosított zip-en, rar-on meg hasonlókon kívül?

Köszönöm.

  • 7907 megtekintés

( maszili | 2013. 08. 20., k – 13:35 )

Igaz , hogy telepíteni kell user oldalon de transzparens

Google drive + encfs

--
maszili

( cba74 | 2013. 08. 23., p – 14:58 )

Eszembe jutott még egy megoldás.

Le lehetne fejleszteni egy tisztán JavaScript megoldást, ahol a szerveren futó szolgáltatásnak egy link lenne átadva arra a már betitkosított fájlra vagy szöveg fájlra, amit át akarunk adni a user-nek. A weboldalon bekérjük a jelszót, és ha szöveg, akkor megjelenítjük, ha fájl, akkor meg kiküldjük letöltésre. Péld a linkre:

https://site.com?p=https://drive.google.com?.......4ab434fe4.txt.gpg

Titkosításhoz ez:
http://openpgpjs.org

Így egyetlen HTML fájl lenne maga a megoldás a beágyazott JS-el, és nyílt forrásúként kitéve bárki könnyen hosztolhatná. Akár ingyenes szolgáltatóknál is statikus módon.

Mivel külső linkeken elérhető tartalom lenne átadva, a storage sem lenne gond. Tehát az egyszerűségénél fogva könnyen hostolhatja bárki, így is növelve a megbízhatóságot. Kizárhatnánk a 3rd partyban való megbízás kényszerét is.

Vélemény?

Szerk.: további kiegészítés az ötlethez:

A küldendő titkosított szöveg lehetne simán betéve az url-be paraméterként - mivel 2000 karaktert minden elfogad és ez sok infó sima rövid titkosított üzenethez, ezért a titkosított szöveg base64-es kódolással mehet az url-be, ahhoz meg tetszés szerint használható url rövdítő szolgáltatás akár.

A legenerált link kinézhetne valahogy így:

https://site.com?q=dQR9tPC5iGzoFKFSOccB0rR9NYBsz+coGJ4a0FCAnnDSW0

Szerk2:

Lehetne a HTML oldalon usernév is a jelszó mellé, így az egyszer megbeszélt jelszót a felhasználó megjegyeztethetné a böngészőjével tetszés szerint. Ha elveszik az sem gond, a cél a titkos infó egyszeri célba juttatása. A usernevet pedig betenné a JS kód a generált URL-be, így azt a usernek nem kell begépelnie a túloldalon, hanem a JS kód megjelenítené.

Persze ha van paraméter, akkor a JS kód kicsomagoló oldalt generál, egyébként mutatja a titkosítási lehetőségeket, vagyis: 1 textarea a szövegnek, 1 textbox a jelszónak + 1 gomb, melyre legenerálja az URL-t.

Arról hogy hogyan lehet megbizonyosodni user oldalon a kapott titkos infó hitelességéről hogy tényleg az küldi-e akitől várta, ehhez a titkosított szöveg végére elhelyezhető a küldő által egy kulcsszó, melyet a másik oldal is ismer, pl. tábla. Tehát a jelszó és a kulcsszó ismeretében az azonosítás és a kibontás is megtehető.

Ha fájlt küldünk, akkor megoldani azt, hogy mellékelt titkos szöveg mindig küldhető legyen.

A hostoló ország törvényeivel nem mehetnek szembe. Az a kérdés, hogy mely országban vannak az adatcserét folytató szerverek, és az ottani szabályozás mit ír elő.

Persze ez akkor is olyan, hogy ha akarják úgyis vagy megszerzik az adatokat vagy bezárják a szolgáltatást, terrorizmusellenes megfontolásokból.

A kommunikációhoz mindig hozzáférnek (nem számítanak a törvények), az internet nyilvános csatorna. Azt is tudják, hogy ki mikor mit forgalmazott. Én úgy értelmeztem a témát, hogy csak az a cél, hogy a "mit forgalmazott" dolgot nehezebb legyen megismerni. Ha valóban kliens oldalon van a titkosítás megbízható programmal és klienssel, akkor több időbe telik megismerni a tartalmat. A szolgáltatás bezáratása természetesen működhet de ez irreleváns. (Az internetet is leállíthatják.)

( Hunger | 2013. 10. 08., k – 09:17 )

Az általam talált eddigi legjobb és működő megoldás titkosított üzenethez: https://cryptobin.org

ez a cryptobin.org nagyon nem biztonságos a jelenlegi formájában... ne használd!