Alternativa segura al correo electrónico

4

Después de anunciar que la NSA realiza una extensa búsqueda de metadatos y tráfico en el correo electrónico, está claro que las personas que buscan privacidad y seguridad abandonarán el sistema por completo, ya que, por diseño, este tipo de indagación no se puede evitar. / p>

Sin embargo, no conozco ningún sistema que deba reemplazar el correo electrónico en su conjunto con un protocolo verificable seguro y privado. Existen sistemas de mensajería instantánea y redes sociales que intentan ser seguros mediante el diseño, pero hasta ahora no conozco ningún protocolo que deba reemplazar el correo electrónico en la comunicación diaria. Se sugiere PGP sobre el correo SMTP tradicional como alternativa, pero no es inmune al análisis de tráfico.

Entonces, la pregunta es: ¿alguien ha diseñado un protocolo seguro para reemplazar el correo electrónico con una funcionalidad similar? ¿Hay algún proyecto en vivo que pueda comenzar a usar y apoyar?

    
pregunta Federico Poloni 10.08.2013 - 18:54
fuente

8 respuestas

3

Si alguna vez miras o lees sobre las viejas tácticas de espionaje, pasarían mensajes en latas de refrescos debajo de un banco del parque, o harían cosas que no se podrían encontrar fácilmente. Desde un problema de análisis de tráfico y recolección de metadatos, el cifrado de los mensajes no importa, ya que el análisis es de las señales y no del contenido. El análisis de Señales puede ver cosas como entre dos partes, frecuencia, etc.

Una posibilidad puede ser usar algo como una infraestructura similar a TOR, donde el tráfico es difícil de descifrar sin controlar muchos nodos, aunque, como se ha visto en las últimas noticias, TOR no es una manera completa de obtener el anonimato y puede estar comprometido .

También hay sistemas anónimos de tipo BBS y tipo BBS. Usted publica el mensaje encriptado y luego alguien más tiene que saber dónde ir para encontrarlo y descifrarlo. Si carga y descarga mucho, es difícil distinguir las conexiones entre individuos, lo que dificulta el análisis del tráfico.

Centrándose en los metadatos o en el análisis de señales, siempre puede ver cómo agregar ruido, como Chaffing y Sistema de adivinación propuesto por Ronald Rivest. También puede intentar comunicarse a través de canales ocultos, mensajes divididos, etc. Puede moverse entre varios foros cada pocos días, incluso si están fuera de tema (y, por lo tanto, es menos probable que se encuentren en una búsqueda). Podría comunicarse en los comentarios de sitios web aleatorios y tener alguna forma de decirle a su receptor cómo encontrar los comentarios. También puedes implementar la estenografía y publicar cosas en lugares muy públicos.

En general, hacerlo fácil y seguro sería un verdadero desafío. Si todo el tráfico se puede monitorear a nivel de cable, entonces el análisis del tráfico siempre es posible sin el ruido o el movimiento físico entre las redes (vaya a una nueva cafetería cada pocos minutos).

Si no le preocupan los metadatos y las señales, pero desea privacidad, cualquier tipo de cifrado en el que el proveedor de servicios no tenga acceso a las claves funcionará. Ekiga y otras herramientas proporcionan cifrado y son relativamente fáciles de usar. Incluso fuera de la seguridad, siempre hay argumentos para reemplazar el correo electrónico, es una cuestión de qué funciones necesitan las masas y cómo hacer que se conviertan en una transición. Internet está lleno de retrasos heredados que tardan mucho tiempo en ser reemplazados (incluso la navegación en la web tiene muchas limitaciones y retiros).

--Editar--

Acabo de ver esto hoy en HN: Secure Share . Algunos de sus puntos:

  

Empleamos GNUnet para enrutamiento y cifrado de igual a igual (el nuevo   openssl de P2P) y PSYC para crear el gráfico de confianza social (porque   realiza una docena de veces mejor que XMPP u OStatus).

     

la comunicación entre partes no se puede medir, ya que pueden no tener ninguno o varios saltos de enrutamiento intermedios. un observador nunca sabe si una comunicación vino de donde vino y termina donde va.

Puede terminar siendo algo útil, si pudiera lograr que las personas acepten abandonar el navegador web.

    
respondido por el Eric G 10.08.2013 - 21:29
fuente
1

Puede ser MUCHO más fácil de implementar "correo electrónico (seguro) sobre correo electrónico (inseguro)".

  • PGP puede proporcionar al usuario final el cifrado del usuario final.
  • Las direcciones de retransmisión personalizadas ([email protected]) pueden proporcionar una forma de protegerse contra el análisis "RCPT TO" (también sobre conexiones cifradas) y el análisis del tamaño del mensaje (agregando basura aleatoria, retrasos de transmisión aleatorios, mensajes de procesamiento por lotes). p.ej. [email protected] - > [email protected] - > [email protected] - > [email protected]
respondido por el AnFi 10.08.2013 - 23:23
fuente
0

El correo electrónico es una especie de protocolo de comunicación, y no tiene nada de malo (al menos no desde la perspectiva en la que estás escribiendo). El problema es que no hay un estándar de facto para cifrarlo, aunque existen algunas soluciones como S / MIME o PGP, pero son demasiado complejas para un usuario promedio.

La parte más importante de este juego son los usuarios que deben tener un cierto nivel de comprensión de la infraestructura de correo electrónico y la criptografía para poder comunicarse de forma segura. Para resolver este problema, debemos desarrollar soluciones fáciles de usar con criptografía de extremo a extremo. Una iniciativa prometedora es el proyecto MailPile:

enlace

Pero tenga en cuenta que incluso si ciframos todos nuestros correos electrónicos (u otras comunicaciones) con criptografía fuerte en nuestro propio equipo y usamos técnicas para anonimizar nuestro tráfico, el gobierno seguirá teniendo la capacidad de hackear nuestras estaciones de trabajo tal como lo hacemos. vi en el caso de Tor .

Ya que preguntó por comunicación cotidiana , no creo que alguna vez tengamos un sistema que oculte los metadatos de tráfico simplemente porque a la gran mayoría de los usuarios no les importa: por ejemplo, el hecho de que comunicarme con mis amigos y socios comerciales en ciertos momentos solo contiene esa información que ya he compartido voluntariamente en las redes sociales.

Sin embargo, OPSEC y tecnologías de anonimizador como mezcladores (que se puede aplicar como una extensión a la infraestructura de correo electrónico existente) puede mejorar la situación. Tor también se puede usar como capa subyacente para correo electrónico (+ protocolos envueltos TLS, y PGP o S / MIME).

PS .: En realidad, Google Wave vino a mi mente como una supuesta alternativa de correo electrónico que funcionaría en servidores privados que usan HTTPS, pero realmente no creo que tenga mucho impacto ...

    
respondido por el buherator 10.08.2013 - 21:03
fuente
0

Hay una solución llamada valeso.com que es muy segura, con configuraciones individuales como 'destruir después de leer', etc. Viene con un cliente de correo electrónico bastante ingenioso y satisfará la mayoría, si no toda la seguridad de Las necesidades de correo que uno pueda tener. La desventaja de valeso.com es que el servidor se encuentra en EE. UU., El país con un interruptor de encendido / apagado para los derechos civiles. Si no está utilizando el cifrado para preparar / cometer un delito, no tiene de qué preocuparse, siempre y cuando el resto del sistema legal en los Estados Unidos siga funcionando.

Sin embargo, creo que las preocupaciones de privacidad de la mayoría de las personas son simples, que no les gustaría enviar correos bancarios, correos de abogados, cartas de amor u otros secretos personales como postales, para que todos los carteros puedan leerlo. Creo que GNUPG.org ha simplificado el cifrado pgp al nivel, que casi todos pueden manejar. Para iPhone hay secumail, puede manejar mensajes PGP. PGP debería convertirse en una característica predeterminada de todos los clientes de correo electrónico.

La desventaja de todos y cualquier cifrado es, si su teléfono inteligente o pad no es capaz de manejar y mostrará una gran cantidad de mensajes de correo electrónico en forma de galimatías cifradas.

    
respondido por el user29403 11.08.2013 - 13:33
fuente
0

Bitmessage sería una buena solución, ya que no pierde metadatos. Por supuesto, las personas a las que está enviando un correo electrónico tendrían que usar Bitmessage.

    
respondido por el ansichart 10.09.2013 - 23:06
fuente
0

Mucho depende de la frecuencia y el volumen de las comunicaciones. Si quisiera pasar algunos mensajes discretos, publicaría un anuncio en Craigslist.

    
respondido por el ddyer 12.01.2014 - 06:21
fuente
-1

Puede usar Openpgp, pero si no es un experto, sugiero Mail1Click .

Mail1Click es un proveedor de correo electrónico seguro bastante famoso, están usando tls y el algoritmo asimétrico RSA. Sus servidores no están en EE. UU., La compañía es de los Emiratos Árabes Unidos y tienen una interfaz web o la aplicación (Windows, Android, etc.).

    
respondido por el user30609 10.09.2013 - 14:30
fuente
-1

IPV6 tiene la respuesta para 'escrituras directas de ventanas B a B' en lugar de todo lo que implica y está 'en riesgo' dentro de la pila actual de IPv4 IP / DNS / protocolo ... es el mecanismo de transporte de correo electrónico en sí mismo ese es el problema !! Necesitamos un cambio de paradigma en la cognición para eliminar el correo de E a E por completo y salir de la trampa cíclica del transporte por etapas ... en lugar de solo escribirlo directamente en el destino. Solo deténgase y piense por un momento lo obvia y simple que realmente es la alternativa dada la complicación que actualmente sufrimos por el sistema tal como es ahora ... La mayoría de los dispositivos modernos de comunicaciones son capaces de ventanas seguras, solo entonces el transporte las vulnerabilidades se sortearán ... por lo tanto, si quieres hackearme; luego tendrás que piratear mi dispositivo y la protección que he puesto en marcha, así que ahora detente y piensa de nuevo en la descentralización de los mensajes y sus ramificaciones ... Steveo Reedo [email protected]

    
respondido por el user37008 11.01.2014 - 18:50
fuente

Lea otras preguntas en las etiquetas