[Hackmeeting] Re: crackdown autistici/inventati

Delete this message

Reply to this message
Autor: cojote
Data:  
Temat: [Hackmeeting] Re: crackdown autistici/inventati
marc0 wrote:

> On Mon, Jun 27, 2005 at 08:01:51PM +0200, yattaman wrote:
>
>> ma se spostassimo la crittografia dal certificato ssl a un sano
>> gpg?
>
>
> utilizzare connessioni cifrate con ssl non ? alternativo a usare
> gpg, piuttosto puo' essere complementare.
>
>> lo so, in webmail ? un casino. sicuramente ? uno dei problemi per
>> cui la crittografia non si diffonde (oltre alla pigrizia degli
>> utenti). ma se scrivessimo un applet java - che quindi gira lato
>> client - che critta il testo utilizzando la chiave privata che
>> uno ha in locale sulla propria chiavetta usb?
>
>
>> c'? sempre il problema che in linea teorica una terza persona -
>> tipo la digos - potrebbe entrare sulla comunicazione e modificare
>> l'applet inserendo un riga di codice che manda la chiave privata
>> ad una certa email. ma insomma la cosa mi sembra abbastanza
>> remota... no?
>
>
> IMHO stai sminuendo il problema, e questo lo considero pericoloso.
> gia' quando sei "sicuro" che una cosa non succedera', questa
> avviene, ma se gia' dal principio ti affidi alla semplice
> speranza...
>
> inoltre IMHO e' una proposta paradossale, cioe' hanno appena fatto
> i loro porci comodi con il server e noi che facciamo? andiamo ad
> abbassare ancora di piu' le misure di sicurezza lato client...
>
> da questo punto di vista, non mi piace la soluzione che stai
> proponendo, suggerirei di usare un %$?%$? di client di posta.
>
> pero' da un'altro punto di vista, per chi non puo' usare un &%$%&?$
> di client di posta, meglio che niente.
>
> comunque, questi fanno qualcosa di simile, "solo" che la chiave
> privata sta' sul server, ma viene decifrata con la passphrase in
> locale, quindi in caso di compromissione del server l'unica difesa
> che ti rimane e' la passphrase, finche' non la scoprono sei a
> posto.
>
> <http://www.hushmail.com/help-documentation>:
> <https://www.hushmail.com/public_documents/Webmail%20Using%20the%20Hush%20Encryption%20Engine.pdf>
>
>
>> poi i problemi diventano diversi. non so - ma non credo - che
>> esista gi? una libreria che ti consenta in java di
>> crittare/decrittare un messaggio in gpg. sicch? scrivere il
>> codice da zero mi sembra lunga e a occhio piuttosto
>> complicato....
>
>
> esiste un wrapper per permettere di usare pgp da java:
> <http://www.cryptography.ch/tiki-page?pageName=pgpjava>
>
> pero' c'e' sempre la dll in c derivata da pgp, e il codice java che
> ti permette di utilizzare la libreria c, ma NON e'
> un'implementazione di pgp in java.
>
> altrimenti con una exec puoi comunque utilizzare gpg da java, ma
> non so' se e che limitazioni ci sono in questo con le applet.



resta il fatto che trovare un modo comodo e decentemente sicuro per
utilizzare la propria chaive gpg in locale anche senza avere un clinet
di posta, usando quindi un qualche tipo di "web"mail, sarebbe una bela
svolta.
qualcuno ha mai affrontato il problema?
guardando per esempio implementazioni di sistemi come IMP, che
supportatno gpg ma si tengono le chiavi private in locale...



- --
"Il mio medico dice che ho la ghiandola del dovere malformata e una
deficienza congenita della fibra morale e che quindi sono esentato
dall'incarico di salvare universi"
- - The Hitchhiker's Guide to the Galaxy -
- --
Key fingerprint = DC50 C9D9 AF43 B623 4A1A 03CE 2383 92CD 988B CB2A
sub 2048g/BD2E8180 2004-10-03 [expires: 2007-10-03]
- --