Re: [ml] servizio email "sicuro"

[matteo filippetto]

Il 25 maggio 2014 12:42, Claudio Telmon <clau...@telmon.org> ha scritto:
> On 05/23/2014 11:54 AM, danimoth wrote:
>
>> Allora, la situazione per me è a strati. C'è chi pensa al protocollo
>> SMTP (diversi nodi in giro per la rete) e c'è chi pensa allo storage
>> delle mail. Per gradi: se vuoi che le mail non siano in chiaro, lungo
>> tutto il percorso, l'unica soluzione possibile è crittarle end-to-end.
>> Un corollario è che se sono tutte crittate end-to-end, ti interessa poco
>> chi ti sta servendo il servizio SMTP.
>
> Per come ho capito il il servizio (in particolare in riferimento al
> mandare mail a chi non usa quel servizio), direi che il servizio
> funziona così:
> - tu hai un'interfaccia Web che ti permette di scrivere/leggere
> messaggi. L'interfaccia in realtà prevede un componente client side (un
> applet) che cifra localmente i messaggi prima di mandarli al server (o
> li decifra dopo averli scaricati). Cito: "ProtonMail employs SSL to
> ensure our encryption codes are properly delivered to user’s browsers
> and not tampered with en-route."
> https://protonmail.ch/blog/protonmail-threat-model/
> I messaggi cifrati mandati al server sono memorizzati lì e inviati via
> SMTP in formato PGP. Chi non ha PGP può connettersi al sito e vederli
> con la stessa interfaccia web che gli scarica l'applet.
>
> Quindi in questo caso hai:
> - primo strato, SSL (per proteggere il trasferimento dell'applet,
> soprattutto)
> - secondo strato, cifratura della mail
>

si infatti, come loro stessi scrivono (se non ho capito male)

protezione client-server

"Message data between our server and your browser is already sent
encrypted, but we use SSL to add another layer of protection and to
ensure that the web pages your browser loads is not tampered with by a
third party intercepting your traffic in a MITM (Man in the Middle)
attack"

protezione tra server

"We support sending encrypted communication to non-ProtonMail users
via symmetric encryption. When you send an encrypted message to a
non-ProtonMail user, they receive a link which loads the encrypted
message onto their browser which they can decrypt using a decryption
passphrase that you have shared with them. You can also send
unencrypted messages to Gmail, Yahoo, Outlook and others, just like
regular email"

ciao!

-- 
Matteo Filippetto
http://www.op83.eu
@matteo_1983

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List