¿Cuáles fueron las puertas traseras del Lavabit para los correos electrónicos de sus clientes? [cerrado]

Navega tus respuestas
0

Se ha hablado un poco sobre el caso de Lavabit. Nueva información se publicó hoy, pero no es importante.

Me gustaría saber cómo funcionaba Lavabit. Primero pensé que habían hecho algo con OpenPGP. Entonces me di cuenta de que tal vez no era el caso ya que el gobierno de los Estados Unidos solicitó algún tipo de clave privada universal para todos los usuarios. ¿Qué demonios es eso? Leí que Lavabit se vio obligado a asegurar algún tipo de puerta trasera, pero no entiendo cómo funcionó. Si sus clientes simplemente cifraran el contenido con sus propias claves públicas / privadas, nadie podrá acceder al contenido. ¿O es solo el cifrado de la información del encabezado (como la dirección de correo electrónico del remitente y el destinatario) lo que Lavabit aseguró?

Gracias.

    
pregunta Jakub Žitný 14.11.2013 - 03:03
fuente

2 respuestas

1

De hecho, Lavabit tenía una clave privada maestra, y se usó para cifrar el nombre de usuario y la contraseña cuando se envió a los servidores de Lavabit. No importa lo que Lavabit hizo a partir de ese momento para asegurar los datos, la NSA había recopilado los datos de la sesión SSL y los había guardado para su uso posterior. Con las claves privadas, podrían descifrar las contraseñas que se enviaron a través de Internet.

Lo único que Lavabit hizo de manera diferente fue publicitarse como un servicio de correo electrónico seguro. Si se está preguntando cómo puede evitar que su propio servicio sea vulnerable. Implemente el secreto hacia adelante, que es el proceso de agregar dos capas de SSL, una en el exterior para la autenticación mediante un par de claves permanentes que ha sido verificado por una CA, y la otra con un par de claves desechables que se deben destruir después del uso y solo almacenado en la memoria RAM. Dado que esto es solo temporal, la clave no se puede recuperar. Esto solo es efectivo para mantener seguros los datos del pasado. El secreto hacia adelante en Wikipedia

Bueno, la NSA solo recopila metadatos, por lo que no tendrás que preocuparte por eso ...

    
respondido por el Phoenix Logan 14.11.2013 - 21:32
fuente
3

PGP solo funciona cuando ambos usuarios están usando PGP y ya han intercambiado las demás claves públicas a través de un canal confiable. Cuando desee enviar un correo electrónico a alguien con quien nunca haya tenido contacto, no podrá hacerlo.

Además, no hay una buena manera para que un servicio basado en la web almacene las claves de los usuarios en su propia computadora. Existen características como las cookies y el almacenamiento local para almacenar datos en el cliente, pero ninguna de estas garantiza la persistencia según las especificaciones. Eso significa que el riesgo de perder las claves privadas sería bastante alto con una solución del lado del cliente.

Por cierto: puede usar PGP a través de un servicio de correo electrónico público que no lo admite oficialmente. Puede utilizar cualquier medio que transfiera texto para intercambiar mensajes cifrados con PGP. Solo significa que necesita hacer el cifrado y descifrado manualmente.

Lo que Lavabit estaba haciendo era cifrar los datos de los usuarios con un par de claves derivado de la contraseña de los usuarios, la misma contraseña que se utiliza para iniciar sesión en el servicio. Al romper la conexión SSL / TLS entre el cliente y el servidor, habría sido posible obtener esa contraseña, iniciar sesión en la cuenta de los usuarios y leer su correo electrónico. Además, nunca fue imposible para Lavabit obtener información discriminatoria sobre sus usuarios. respondido por el Philipp 14.11.2013 - 10:38

fuente

Lea otras preguntas en las etiquetas

¿Puedo leer / escribir valores canarios del registro de% gs? Certificado de cifrado de correo electrónico y firma