Ocultar el hecho de la comunicación por correo electrónico

Vamos a romper esto:

1. Bob y Alice quieren participar en la comunicación por correo electrónico bidireccional.
2. Bob y Alice necesitan usar sus direcciones de correo electrónico personales.
3. Eve tiene la capacidad de observar todas las comunicaciones en el sistema.
4. Eve no debe aprender sobre ninguna comunicación especial entre Bob y Alice.
5. (Alice no debe saber que Bob está casado).

La última declaración (5) le impide utilizar sistemas de colaboración para ocultar la comunicación, ya que Alice inmediatamente se preguntaría si Bob le pidió que la usara.

Sin embargo, sin la participación de Alice, Eve aprenderá sobre la infidelidad de Bobs, ya que Alice responde a Bob la más reciente .

Por lo tanto, me gustaría proponer que se suelte el punto 5. Si Alice ayuda activamente a Bob, potencialmente pueden mantener a Eve en la oscuridad.

Para ese fin, Bob envía mensajes cifrados a todos sus amigos (diferentes mensajes a diferentes personas). Como Eve no puede descifrarlos, no puede leer el mensaje a Alice. Y dado que todos los amigos están recibiendo correo, Eve no puede inferir una relación especial entre Bob y Alice.

La parte importante ahora es que muchos de los amigos de Bob respondan a sus mensajes (por lo tanto, debe haberles enviado mensajes con sentido). De lo contrario, Eve podría inferir el destinatario de la comunicación principal (Alice), ya que Alice sería la única que respondería.

Por supuesto, todas las respuestas enviadas a Bob también deben estar encriptadas. (Pero Bob seguramente solo tiene amigos y amantes conscientes de la seguridad.)

... Para concluir, es mejor que Bob permanezca fiel;)

Si Bob puede poseer la computadora de Alice (todas ellas) sin ser detectado, puede envolver un bot alrededor de su cliente de correo electrónico que colabora con Bob de la manera más conveniente para él, pero luego le presenta la comunicación a Alice como texto simple. de la dirección de Bob, aunque esa no sea la verdad. Los correos electrónicos salientes a Bob también se interceptan y se comunican de manera colaborativa.

Si Bob puede ser propietario de la red de Alice (todas ellas) en sentido descendente desde todos los puntos que Eve puede monitorear, un robot podría hacer lo mismo.

Si Bob puede poseer la computadora de Eve (todas ellas) sin ser detectado, puede lobotomizar sus herramientas de monitoreo para no ver lo que hay allí.

No veo una solución menos invasiva.

La posible solución sería utilizar el filtrado / redireccionamiento basado en reglas en el servidor y la suplantación de direcciones.

1.) El correo de la cuenta de Alice a [email protected] se reenvía inmediatamente al servidor a una cuenta de correo clandestina que utiliza para su caso. A menos que Eve pueda ver las reglas de filtrado del servidor y / o los registros en el servidor de correo, nunca sabrá que Bob está recibiendo el correo de Alicia.

Nota: Esta no es una solución segura si hay correos que no están relacionados con un asunto y están regresando & entre Alicia y Bob que Eva debería estar viendo para evitar sospechar (lo que es un problema nuevo en sí mismo, ya que Alicia seguramente mezclará información comercial y privada, como hacen los amantes). p>

2.) Para el correo de la cuenta clandestina de Bob a Alice, él estará falsificando su dirección de autor para que se origine en [email protected]. A menos que Alice sea hábil con los encabezados y verifique las cabeceras de los correos en busca de inconsistencias, nunca será más sabia.

Esta solución tiene un par de requisitos previos:

A. Eve solo puede monitorear el tráfico de la computadora de Bob (a menos que esté cifrado, como en muchos servicios de correo web) y el correo (cliente o cuenta de correo web), NO los registros del servidor de correo y / o las reglas de filtrado.

B. Obviamente, el servidor de correo de Bob debe permitir el filtrado y redireccionamiento del servidor para que los correos de Alicia nunca aparezcan en la cuenta de correo real de Bob.

C. El servidor SMTP de la cuenta de empresa clandestina de Bob debe permitir el envío de correos con una dirección de originador diferente.

No hay solución. Como señala Philipp, sus requisitos se reducen a "Bob y Alice solo pueden comunicarse en texto sin formato directamente a través de un canal supervisado", porque si Bob utiliza algo más, Alice se dará cuenta de que está ocultando algo.

Está suponiendo que una persona solo puede tener una dirección de correo electrónico personal, pero eso no es cierto. Si Alice no es una participante consciente en el adulterio de Bob, no debería haber ninguna razón para que ella sepa que [email protected] es la "única" dirección personal de Bob. Él podría darle a su [email protected] y ella no sabría nada.

Alternativamente, si Eve solo es capaz de monitorear la red pero no la computadora, Bob podría ocultar el correo electrónico mediante el uso de un cliente de correo electrónico basado en servidor y comunicarse con él de forma segura. Si Eve puede monitorear la computadora, entonces ella podría ver la correspondencia del correo electrónico antes (o después) de que se hayan llevado a cabo las operaciones de cifrado (o descifrado).

La forma moderna de enviar correos electrónicos ya responde al problema de Bob. De hecho, un servicio como GMail ya cifra la comunicación de correos electrónicos entre dos direcciones de GMail. Además, Bob puede conectarse a su interfaz de correo electrónico utilizando HTTPS, lo que deja sin efecto a todos los espías.

Si consideramos que el de Bob es descuidado y le envía su correo electrónico a su nuevo amado a través de las conexiones de texto sin formato, podría configurar un relevo de correo electrónico al que se comunica mediante cualquier método criptográfico de elección, dejando que el relevo tome Atención de la redirección de correo electrónico. Lo único que Eve puede ver es el correo electrónico cifrado que sale de Bob's al relé.

Sin embargo, si Eve puede controlar el tráfico entrante en el lugar de Alice (ya que ella puede espiar a todos los candidatos), no hay mucho que Bob pueda hacer, ya que tiene que usar su propia dirección para Alice.

Muy extraño que nadie mencione la solución de cómo el general David Petraeus ocultó su historia de amor de los ojos curiosos:

Ambos tienen una cuenta web de correo electrónico compartida. Cada uno guarda su mensaje a la otra persona como borrador sin enviarlo en absoluto. Así que la única transmisión detectable (que normalmente está encriptada) es entre Petraeus y el servidor (Yahoo, Google Mail, lo que sea) para guardar el borrador. Y claro, si alguien pregunta, él / ella simplemente está leyendo sus correos electrónicos, nada más.

EDITAR: Es posible, pero tiene la condición previa de que Alice sea una inepta técnica, tenga una cuenta de correo web y Bob sea bastante malicioso.

Bob recibiendo correos de Alices:
Bob configura un servidor de correo (eventualmente oculto) en su lugar de trabajo y le da la dirección a Alice. A Eve se le informa que un nuevo sistema de seguimiento de tiempo está instalado. El servidor extrae los mensajes de Alicia y los pone esteganográficos ocultos en la información del trabajo (has trabajado durante bla bla horas), que luego ve Eva. Para evitar un mal momento, Bob configura un cronjob para que los correos siempre se envíen al mismo tiempo. Eve no puede ver nada sospechoso, solo correos de trabajo aburridos y estúpidos que vienen del lugar de trabajo.

Alice recibe correos de Bob:
Más duro, más malicioso y dependiendo de la estupidez de Alicia. Bob necesita obtener la contraseña de Alice para su cuenta (oferta para configurar el programa de correo, hacer palanca cuando Alice busque su correo electrónico). Luego, cuando Bob recibió sus mensajes, Bob descaradamente se registra como Alice, escribe su respuesta como borrador y mueve el mensaje a la bandeja de entrada . Naturalmente, cualquier usuario que mirara los encabezados vería de inmediato el engaño, pero como se dijo, depende de la estupidez de Alice.

Bitmessage puede ser la solución. Consulte enlace . Bitmessage oculta quién se comunica con quién, y todos los mensajes enviados a través de la red están cifrados, autenticados y firmados digitalmente.

De Wikipedia: Bitmessage es un protocolo de comunicaciones descentralizado, encriptado, de igual a igual, confiado que puede ser utilizado por una persona para enviar mensajes encriptados a otra persona o a múltiples suscriptores. Bitmessage encripta la bandeja de entrada de cada usuario mediante el uso de criptografía de clave pública y la replica dentro de su red P2P, mezclándola con la bandeja de entrada de otros usuarios para ocultar la identidad del usuario, evitar las escuchas y permitir que la red funcione de manera descentralizada. El protocolo de comunicaciones de Bitmessage evita la falsificación de remitentes a través de la autenticación y oculta los metadatos de los sistemas de escuchas telefónicas.

Esta fue una buena pregunta y, a pesar de algunos comentarios, es muy relevante para la seguridad. También es un problema real. No te dejes atrapar por los detalles extravagantes. en lugar de eso, enfóquese en el problema general, que podría aplicarse igualmente a los problemas del mundo real que enfrentan los periodistas o prácticamente cualquier persona que viva en un país donde el control gubernamental y las libertades civiles puedan estar reñidos. Esencialmente, este es el problema de los metadatos. Una tercera parte no necesita conocer realmente el contenido de la comunicación para sacar conclusiones sobre lo que había en la comunicación. El hecho de que estas conclusiones puedan basarse en suposiciones inexactas o incorrectas es en gran medida irrelevante.

La pregunta general es, ¿cómo puede la parte A comunicarse con la parte B sin la parte C, que tiene acceso a los metadatos de la parte A, sabiendo que se ha producido alguna comunicación?

Con el correo electrónico, esto es extremadamente difícil. Hay otros protocolos que tienen metadatos menos útiles o que pueden permitir que los metadatos se ofusquen. Sin embargo, el problema aquí es que la parte B no puede o no puede o no puede o no conocer estos otros protocolos. La ventaja del correo electrónico está en su ubicuidad.

Si asumimos que las restricciones del problema original se mantienen, es decir, que la parte A no puede simplemente obtener una dirección de correo electrónico diferente, entonces la solución más obvia sería utilizar el escenario de tipo MiTM. Esencialmente, alguna forma de retransmisión donde la parte A envía el mensaje a la parte D, quien lo envía a la parte B y la respuesta de la parte B se envía a la parte D y luego se devuelve a A. Sin embargo, esto también tiene una serie de limitaciones. La parte B (que no está cooperando) puede observar que los mensajes se están transmitiendo y se vuelven sospechosos. Del mismo modo, la parte C podría preguntarse qué significan los mensajes que van al punto de retransmisión y convertirse en algo sospechoso, especialmente si C puede asociar los mensajes que van a la retransmisión con otros comportamientos y hay suficiente frecuencia. El problema con el uso de cualquier forma de retransmisión es que no cambia el patrón general de metadatos, simplemente pone otro salto en el proceso.

Los metadatos son sobre patrones y análisis de patrones. Para ocultar las comunicaciones en este nivel, debe ocultar los patrones. En lugar de un relé, tenga múltiples relés y use cada relé para múltiples destinatarios. Difunda los patrones comunicándose con muchas personas (en el ejemplo de OP, no solo envíe un correo electrónico a su amante, sino a muchas otras mujeres que no son su amante).

Supongo que el punto aquí es que todo lo que haces deja metadatos. Estos metadatos se pueden utilizar para dibujar suposiciones basadas en los patrones que se identifican en los metadatos. Cualquiera que diga que solo las personas que tienen algo que ocultar deben preocuparse por los metadatos no están pensando en qué tipo de supuestos pueden ser capaces de derivar las personas creativas a partir de estos patrones. Si los que sacan las conclusiones tienen suficiente poder, el hecho de que las suposiciones sean incorrectas es irrelevante; si creen que las suposiciones son correctas, actuarán en consecuencia y esto puede tener un impacto adverso independientemente de la verdad. Para aquellos con suficiente poder / influencia, la forma en que se percibe puede ser tan importante como usted: si su pareja cree que está haciendo trampa, su vida probablemente se volverá miserable, independientemente de si lo es o no. Si su gobierno cree que está exhibiendo patrones de datos comúnmente asociados con la actividad terrorista, probablemente lo tratarán como tal, independientemente de sus acciones reales y si su compañía cree que lo han identificado como el denunciante basado en metadatos, es probable que se encuentre Desempleados sin importar la realidad.

Los metadatos son valiosos y potencialmente peligrosos. Existirá independientemente de lo que queramos. Es importante que el acceso se controle adecuadamente y que el acceso tenga controles y balances adecuados. No podemos asumir que debido a que algunos metadatos nos parecen inocuos, no pueden ser utilizados por otros, especialmente cuando se combinan con otras fuentes. Desde una perspectiva de seguridad, debemos aplicar el principio normal de "necesidad de saber" a todos nuestros datos, no solo a los datos que consideramos sensibles o importantes. Tenemos que asumir que siempre hay alguien más inteligente y más creativo que nosotros y, si vas a engañar a tu compañero, ¡asegúrate de tener una identidad de red separada de la que no sepan nada!