Spero di non essere arrivato troppo alla fine del party :-)
Il 11/05/2016 10:16, Paolo Giardini ha scritto: > > Cambia poco: FBI può chiedere a Proton i file di mailbox ed a te le > chiavi; se "ho perso la chiave" non vale, non vale in entrambi i casi. > > Sono perplesso... FBI che viene QUI a chiederMI le chiavi? In base a cosa? > :-) > > Beh, a dire il vero, non è successo una sola volta che un'operazione partita > dagli stati uniti e "capitanata" dall'FBI > abbia portato a sequestri (e suppongo fermi/arresti, ma su questi non posso > garantire) anche in Italia, nel caso di > reati informatici, attraverso la polizia postale. Assolutamente sì, e l'FBI non è l'unica agenzia americana che non ha alcun problema a inquisire fuori del territorio USA. Noi abbiamo avuto visite dell'FDA in Europe ed Asia... se vuoi operare e vendere negli USA, devi sottostare alle loro leggi. Se pensano che tu abbia violato una legge in USA, possono "venire a prenderti", ovviamente tramite le forze dell'ordine locale. 2016-05-10 13:59 GMT+02:00 danimoth: > nella moderna accezione di crittografia occorre individuare precisamente > il cosiddetto "Threat Model", e in seguito valutare le opzioni. Senza > questo step preliminare tutti i suggerimenti che ti si possono dare sono > privi di senso. > > Quindi: Da chi ti vuoi proteggere (parafrasato, che attacchi vuoi > rendere impraticabili)? Che canali (al di fuori di quello > che stai costruendo) hai a disposizione ? Non potrei essere più d'accordo. Se non si conosce lo "scope" si fanno sempre scelte sbagliate. Per esempio, PGP non è sicuramente un buon sistema di crittografia per le email ed io non lo consiglio, per vari motivi (non ce n'è nessuno decente, in realtà), ma per certi usi può benissimo essere sufficiente. A cosa vi serve scambiarvi email criptate? che tipo di informazione dovete salvaguardare? dovete solo comunicare tra di voi? forse una chat criptata funziona meglio? dovete scambiarvi file? non è che fate tanta fatica e poi salvate i file in locale senza crittografia?... dovete usare una rete untrusted per forza, oppure potete semplicemente impostare STARTTLS sugli email server e lasciare che le email rimangano in chiaro nella rete locale? Insomma, a seconda di quello che uno vuole fare, le soluzioni ci possono essere, ma purtroppo molti security practitioner si focalizzano sullo strumento tecnico e perdono di vista il punto di partenza, che è la protezione dell'informazione. 2016-05-05 10:07 GMT+02:00 [email protected]: > devo proteggere le comunicazioni con i miei collaboratori. Sono indeciso fra > installare e configurare PGP oppure utilizzare i servizi business di > hushmail. > Voi cosa mi consigliate? > Grazie in anticipo Nessuno dei due :-) PGP (incluso e specialmente GPG) per una fraccata di motivi: https://lists.torproject.org/pipermail/tor-talk/2013-September/030235.html http://secushare.org/PGP http://blog.cryptographyengineering.com/2014/08/whats-matter-with-pgp.html S/MIME fa schifo uguale, se te lo stai chiedendo. Infine, condivido i commenti di chi dice che "chi e dove la chiave privata è tenuta" sia la cosa più importante da considerare. Cordiali saluti -- Marco Ermini CISSP, CISA, CISM, CEH, ITIL, PhD http://www.linkedin.com/in/marcoermini ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
