On 22/05/14 at 12:24pm, matteo filippetto wrote: > Per "sicuro" intendo che > > - le mail non siano in chiaro
Forse sono io che non capisco, in tal caso ti chiedo scusa in anticipo, però è davvero un non-sense quello che hai scritto. O se il senso è quello che tra poco andrò a scrivere, è una stupidata :-) (Disclaimer [1]) Allora, la situazione per me è a strati. C'è chi pensa al protocollo SMTP (diversi nodi in giro per la rete) e c'è chi pensa allo storage delle mail. Per gradi: se vuoi che le mail non siano in chiaro, lungo tutto il percorso, l'unica soluzione possibile è crittarle end-to-end. Un corollario è che se sono tutte crittate end-to-end, ti interessa poco chi ti sta servendo il servizio SMTP. Da altre mail, sembra che tu stia cercando qualcosa di simile a Lavabit; che riceva i tuoi messaggi (quindi servizio SMTP in chiaro) e poi li salvi crittandoli. A parte i problemi di gestione della chiave (io ci farei poco affidamento sui server remoti) potresti facilmente ottenere un risultato del genere scaricando i messaggi via POP (non lasciandoli sul server), crittarli con un algoritmo simmetrico con la chiave che scegli tu, e poi salvarli in remoto (ad es. su Dropbox). Puoi costruirti un indice, facendo ad esempio un dizionario (mitt, oggetto) --> hash msg da salvarti in locale, per facilitare le ricerche. Magari esiste già qualcosa del genere.. IMHO, tutte le soluzioni che non prevedano un end-to-end nel nome sono da scartare, perchè danno un falso senso di "sicurezza". E poi, come se non bastasse, in tutte le soluzioni che prevedono un end-to-end nel nome, bisogna controllare la metodologia della "costruzione" del segreto condiviso.. con tutte le problematiche (e gli attacchi) connesse/i. > - il servizio non richieda troppe informazioni (sull'identità) per essere > usato > - gli accessi, le operazioni non siano loggati > - chi offre il servizio sia affidabile e che non abbia degli interessi > particolari (forse è il punto più importante....) Autistici/Inventati. E sottolineo l'importanza delle donazioni; meglio chi espressamente chiede soldi per mantenere un certo servizio di chi ci dà tutto gratis, trasformandoci però in prodotti da vendere. [1] Disclaimer: I toni sono assolutamente benevoli. E' una liberazione leggere di queste cose su una mailing list italiana, almeno si ravviva un pò la lista; se ti irrita, vedrò di cambiare al più presto le parole. ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
