On 05/23/2014 11:54 AM, danimoth wrote: > Allora, la situazione per me è a strati. C'è chi pensa al protocollo > SMTP (diversi nodi in giro per la rete) e c'è chi pensa allo storage > delle mail. Per gradi: se vuoi che le mail non siano in chiaro, lungo > tutto il percorso, l'unica soluzione possibile è crittarle end-to-end. > Un corollario è che se sono tutte crittate end-to-end, ti interessa poco > chi ti sta servendo il servizio SMTP.
Per come ho capito il il servizio (in particolare in riferimento al mandare mail a chi non usa quel servizio), direi che il servizio funziona così: - tu hai un'interfaccia Web che ti permette di scrivere/leggere messaggi. L'interfaccia in realtà prevede un componente client side (un applet) che cifra localmente i messaggi prima di mandarli al server (o li decifra dopo averli scaricati). Cito: "ProtonMail employs SSL to ensure our encryption codes are properly delivered to user’s browsers and not tampered with en-route." https://protonmail.ch/blog/protonmail-threat-model/ I messaggi cifrati mandati al server sono memorizzati lì e inviati via SMTP in formato PGP. Chi non ha PGP può connettersi al sito e vederli con la stessa interfaccia web che gli scarica l'applet. Quindi in questo caso hai: - primo strato, SSL (per proteggere il trasferimento dell'applet, soprattutto) - secondo strato, cifratura della mail Nei confronti di terzi, stesso mecanismo oppure sola cifratura PGP su SMTP in chiaro. Naturalmente, questo è quello che ci ho capito io. ciao - Claudio -- Claudio Telmon [email protected] http://www.telmon.org
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
