Il 27 maggio 2014 20:14, Claudio Telmon <[email protected]> ha scritto: > On 05/27/2014 09:55 AM, danimoth wrote: > >> Mi fa pensare che, per chi non ha PGP, venga usato un segreto che poi >> verrà memorizzato sul server, e passato al computer client usando SSL. >> L'approccio rende inusabile il tutto (non è più end-to-end, occorre >> fidarsi del loro server). E' corretto? > > Penso di no. Non ricordo in quale parte del sito, ma mi pare che in quel > caso prevedano una cifratura simmetrica, in cui il segreto/chiave > dovrebbe essere concordato fra le due parti mediante un side channel > (ovvero, si mettono d'accordo prima per telefono). Il che non è in > contrasto con l'uso, come strumento di cifratura e codifica, di > openpgpjs. La mia è comunque sempre una speculazione sulla base delle > info sul sito, non l'ho provato. > > > -- > > Claudio Telmon > [email protected] > http://www.telmon.org > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List
Ciao, interessante articolo che magari avete già letto (perchè è parecchio datato...) riguardo a come altri servizi di mail sicure (lavabit in particolare) funzionavano http://highscalability.com/blog/2013/8/13/in-memoriam-lavabit-architecture-creating-a-scalable-email-s.html http://possibility.com/LavabitArchitecture.html "Do you use any particularly cool technologies or algorithms? The way we encrypt messages before storing them is relatively unique. We only know of one commercial service, and one commercial product that will secure user data using asymmetric encryption before writing it to disk. Basically we generate public and private keys for the user and then encrypt the private key using a derivative of the plain text password. We then encrypt user messages using their public key before writing them to disk. (Alas, right now this is only available to paid users.) We also think the way our system is architected, with an emphasis on being used in a cluster is rather unique. We would like to someday release our code as free software. We haven’t yet because a) we don’t want anyone else building a competing system using our code, b) while we’ve moved more settings and logic into a configuration file over the last couple of years, there is still a lot of logic hard coded, and c) we’ve created the code specifically for Cent OS, and don’t have the resources to test and support it on other operating systems right now. We’ve spent some time looking for a company to sponsor open sourcing the code, but haven’t found one yet." Buona giornata -- Matteo Filippetto http://www.op83.eu @matteo_1983 ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
