Para los usuarios que no usan PGP, ¿cuál sería el otro canal para enviarles un documento de forma segura?

15

Me gustaría enviar un documento que sea confidencial para los usuarios que no tienen idea de qué es PGP (por lo que no tiene sentido enseñarles cómo instalarlo, etc.) por correo electrónico.

La verdadera pregunta es ¿cómo hacer eso?

Actualmente estoy pensando en los siguientes enfoques y me pregunto si alguien sabe cuál es el más seguro:

Tengo las siguientes opciones:

  • cifralo usando la funcionalidad de seguridad provista por Microsoft Office Word. ¡Entonces el nombre del documento es visible! Y no sé si debo confiar o no en este método de cifrado de Word.
  • Cifrarlo con WINRAR. Puedo cifrar incluso el nombre del documento, por lo que al abrirlos, se les debe solicitar que proporcionen la contraseña y, por lo tanto, incluso el nombre del documento está cifrado.
  • Conviértalo en un archivo PDF y cifrelo usando PDF. ¿Similar a Word tal vez un poco más poderoso / o menos?

Por supuesto, algunos dirían que usan una combinación, pero no quiero parecerle tan paranoico a mis clientes;)

    
pregunta Phoenician-Eagle 24.11.2010 - 16:45
fuente

11 respuestas

15

Usted asume que el documento debe enviarse por correo electrónico. Parece que solo estás protegiendo contra la intercepción mientras se envía el correo electrónico (smtp). Si ese es el caso, solo necesita transporte seguro y no necesariamente el cifrado manejado por el usuario final.

¿No puede hacer que descarguen el documento desde un servidor web que usted controla a través de SSL? Todavía tiene que darles la URL y la contraseña de alguna manera, pero al menos puede eliminar el documento del servidor web. De todos modos, tendrán una versión de texto claro del documento, por lo que no importa si lo mantiene limpio en su servidor web, pero detrás de una contraseña. Puedes controlar el acceso y bajarlo después de que lo obtengan.

    
respondido por el rox0r 29.11.2010 - 07:53
fuente
9

Con respecto a la seguridad de MS Office, no use Office 2003. La longitud de la clave está limitada a 40 bits, lo que aún es un poco de trabajo, pero técnicamente puede ser forzado.

He examinado el cifrado de archivos de Office 2007 y me parece adecuado. Es difícil determinarlo con certeza porque, por lo que sé, la especificación no está disponible públicamente (si alguien sabe diferente, me encantaría verla), pero hay algo de documentación.

Las longitudes de clave y las opciones de cifrado son apropiadas. Los archivos de Word 2007 (.docx) ahora están basados en XML. El cifrado del archivo deja disponible cierta información de encabezado (el usuario sabrá que es un archivo .docx y el nombre del archivo), así como una huella digital del archivo (de modo que si se ingresa la clave de manera incorrecta, tiene algo con lo que coincidir) , pero el contenido del archivo en sí está encriptado.

Como se mencionó, la creación de un SDA (Archivo de autodescifrado) con PGP parece cumplir perfectamente con sus criterios, pero creo que solo está disponible con PGP (el $ $ $) y no GPG (el gratuito). Si tienes PGP real, me gustaría ir esa ruta. De lo contrario, el cifrado de archivos con Word parece seguro.

    
respondido por el PulpSpy 25.11.2010 - 01:45
fuente
7

Ahh, un problema tan antiguo y con muchos problemas :)

Mucho depende de su "modelo de amenaza": quién y qué le preocupa y en quién confía. Parece que no está buscando cifrado después de recibir el documento, solo mientras está en tránsito. Como señalé en mi comentario anterior, creo que le importaría la privacidad de sus mensajes, así como la privacidad del nombre del documento y del documento mismo mientras esté en tránsito.

Una cosa con la que probablemente puede contar es un soporte razonable para TLS en sus navegadores. Entonces, si hay un proveedor de servicios web seguro que siempre usa https en los que ambos confían, eso funcionaría. Pero es posible que no desee confiar, por ejemplo, en un ISP controlado por el estado o proveedor móvil en un país opresivo. Vea las peleas de Blackberry con los Emiratos Árabes Unidos, por ejemplo.

Por ejemplo, Si ambos tienen gmail, y siempre accedan a él con https, eso puede funcionar. También se puede acceder a Google docs con https. Por supuesto, es posible que no confíe en Google, pero hay muchos otros (por ejemplo, fastmail.fm) en los que puede confiar.

Si ambos usan un protocolo seguro de igual a igual o un esquema de mensajería instantánea o una plataforma de teléfono móvil, eso puede ser más seguro que el correo electrónico.

    
respondido por el nealmcb 24.11.2010 - 19:15
fuente
7

Este es un problema perenne y he visto bastantes soluciones.

Un par de consideraciones

¿Es este un intercambio único o regular?

si se trata de un intercambio único, entonces una contraseña / contraseña comunicada a través de un mecanismo fuera de banda (por ejemplo, mensaje de texto SMS, verbalmente por teléfono, en persona) debería ser suficiente.

Si se trata de una transferencia regular, puede que no sea factible, por lo que una opción en ese momento sería tener una lista de contraseñas preestablecida (nuevamente comunicada fuera de banda) y trabajar a intervalos predeterminados.

Desde el punto de entregar el documento a la otra persona, está determinado en gran medida por el software que haya instalado y el bloqueo / filtrado que se aplica al transporte utilizado para realizar la transferencia.

Los archivos de auto-descifrado pueden funcionar, pero algunos sistemas de correo electrónico bloquearán el contenido ejecutable en los archivos adjuntos (el cambio de nombre del archivo puede ayudar aquí si el sistema solo funciona con la extensión de archivo)

Los documentos cifrados de MS Office, si es una versión moderna y las opciones de cifrado seleccionadas son buenas, funcionan razonablemente bien. Como mencionó, puede haber un pequeño problema de percepción, ya que las versiones anteriores de Office tenían crypto débil, pero no estoy al tanto de que sea un problema con las versiones con fecha de vencimiento (usan el CryptoAPI de Microsoft, que tiene cifrados fuertes disponibles)

Archivos ZIP cifrados, de la misma manera siempre y cuando sean versiones actualizadas del software (el cifrado zip anterior no era muy fuerte).

    
respondido por el Rоry McCune 25.11.2010 - 13:56
fuente
4

Si ya tiene la versión comercial de PGP, puede crear un SDA (Archivos de autodescifrado):

  

"Otra forma de colocar archivos y carpetas en un solo paquete cifrado y comprimido. Un SDA es un poco más grande en tamaño que un archivo PGP Zip porque el archivo ejecutable está incluido en el archivo, pero esto significa que el SDA se puede abrir en los sistemas Windows que no tienen instalado PGP Desktop. Los SDA solo pueden protegerse con frases de contraseña, por lo que debe encontrar una forma segura de comunicar la frase de contraseña de la SDA al destinatario deseado. "

Otras opciones:
dropsend.com enlace (nivel comercial para agregar seguridad)
winzip w / encryption es popular enlace

    
respondido por el Tate Hansen 24.11.2010 - 17:28
fuente
2

Si es un documento de Word, considere el servidor de administración de derechos de Microsoft

enlace

..it está integrado en MS Word 2003 y más reciente.

    
respondido por el random65537 24.11.2010 - 18:00
fuente
1

Su elección de nombre de archivo no tiene que reflejar el contenido real. Un archivo de Word llamado 'Untitled 1.doc' sigue siendo un archivo de Word, y el título en la página 1 del documento puede proporcionar la información real.

Para ampliar su lista de opciones, las versiones más recientes de zip (lo siento, no conozco la versión en formato, es lo que WinZip 9 soporta) ofrecen cifrado AES.

    
respondido por el user185 24.11.2010 - 17:28
fuente
1

Creo que S / MIME es realmente impresionante, pero seguramente WinZip con cifrado (enviar la frase de contraseña por teléfono o SMS / mensajes de texto) funcionará en un apuro.

    
respondido por el atdre 25.11.2010 - 00:35
fuente
1

Para situaciones como esta, uso AxCrypt. Esto nos permite cifrar el archivo adjunto sin preocuparnos por la versión de Office y, si lo desea, crear un archivo autoextraíble. Tenga en cuenta que muchos programas de correo electrónico eliminarán los ejecutables, por lo que es posible que tenga que solucionarlo.

    
respondido por el Wayne 28.11.2010 - 22:06
fuente
1

Podría considerar configurar cuentas de hushmail y GENERAR PASAFASAS SEGURAS PARA ESOS USUARIOS y darles las frases de contraseña de forma segura. (Pero vea la nota de Hushmail acerca de que cumplen con la aplicación de la ley válida - enlace )

Eso les entregaría el contenido, pero no lo protegería una vez en su computadora. Pero entonces, los usuarios poco conocedores probablemente tendrían el contenido desprotegido de todos modos.

Dependiendo de la importancia de los documentos y los recursos del atacante, hay un software para forzar la mayoría de los cifrados ofrecidos por el software. (Consulte las ofertas de Elcomsoft, por ejemplo, que le permiten usar clústeres de GPU y ataques de diccionario, así como pura fuerza bruta)

No olvide que el cifrado es difícil, y muchos de los softwares que ha mencionado ya han implementado cifrado roto en versiones anteriores.

enlace

  

El formato de cifrado Zip 2.0 (heredado) es compatible con la mayoría, si no todas, las demás utilidades de archivos Zip. La protección de contraseña de un archivo Zip con cifrado Zip 2.0 proporciona una medida de protección contra un usuario ocasional que no tiene la contraseña y está tratando de determinar el contenido de los archivos. Sin embargo, se sabe que el formato de cifrado Zip 2.0 es relativamente débil y no se puede esperar que proporcione protección a las personas con acceso a herramientas especializadas de recuperación de contraseña.

     

No confíe en el cifrado Zip 2.0 para proporcionar una seguridad de datos sólida.

    
respondido por el DanBeale 05.08.2011 - 13:09
fuente
0

¡Puedo creer que nadie ha sugerido imprimir nuestro documento y enviarlo por correo postal! A menos que el cliente necesite la información con urgencia, y no suene así, este no es el caso, la entrega al día siguiente / al día siguiente debería ser suficiente. Otra opción es usar una máquina de fax segura, que es común en los consultorios médicos y en los departamentos de recursos humanos, aunque muchas personas no los tienen a mano.

    
respondido por el this.josh 15.10.2011 - 02:12
fuente

Lea otras preguntas en las etiquetas