¿Podemos asegurarnos de que el nuevo certificado Lavabit no esté bajo el control del FBI?

11

Después del Lavabit shutdown , Ladar Levison (fundador de Lavabit) anunció que está "investigando la configuración de un sitio donde los usuarios pueden descargar sus datos".

Este sitio ya está en línea: enlace (actualmente, solo ofrece cambiar su contraseña)

La página dice:

  

Debido a las preocupaciones sobre la integridad continua de las contraseñas de los clientes, ofrecemos una breve ventana de cinco días para que los usuarios puedan cambiar su contraseña antes de permitir que alguien descargue un archivo de sus correos electrónicos almacenados. La funcionalidad de descarga estará disponible a partir del viernes 18 de octubre a las 7 pm CT.

     

Dado que los certificados SSL utilizados anteriormente para proteger el acceso a Lavabit se han visto comprometidos, recomendamos validar manualmente el número de serie y la huella digital que recibió su computadora antes de usar este sitio web.

     

Serie: 00: C9: FA: 44: 62: 08: 82
  Huella digital: 8C: 18: BF: AB: 8C: D1: 24: A3: 76: 8C: FC: C0: 4A: 89: 1D: 23: 3A: 25: DF: 77

Ahora me pregunto: ¿Se puede confiar en este sitio?

  1. ¿Cuál es la razón para permitir cambios de contraseña solo durante cinco días en este contexto?

  2. ¿Tiene sentido revisar este número de serie y huella digital, ya que están impresos en la misma página web en la que se usa el certificado?

  3. ¿Hay alguna forma de asegurarse de que este nuevo sitio resp. ¿El certificado SSL está no bajo el control del FBI?

pregunta unor 16.10.2013 - 08:12
fuente

3 respuestas

13
  

¿Se puede confiar en este sitio?

No.

Bueno, no si consideras GoDaddy subvertido o subvertable. Como incluso el número de serie o sitio web publicado podría ser una planta del FBI ;-).

Pero si desea recibir sus correos electrónicos, deberá conectarse al sitio .

  

¿Cuál es la razón para permitir cambios de contraseña solo durante cinco días en este contexto?

Suponemos que el gobierno no puede obligar a Ladar Levison a través de una orden de mordaza para proporcionar la nueva clave privada o actualizar el número de serie que figura en su sitio dentro del plazo establecido.

  

¿Tiene sentido revisar este número de serie y la huella digital, ya que están impresos en la misma página web en la que se usa el certificado?

No, pero es probable que Ladar esté distribuyendo discretamente la serie actual en Internet.

Por ejemplo, si los cambios en serie citados se comparan con la publicación (revisión original) en Stack Exchange, es posible que los espías estén realizando una operación de "hombre en el medio". Sin embargo, no protege contra que Ladar renuncie a la clave privada actual (suponiendo que no se tome unas vacaciones de 5 días en Rocky Mountains sin contacto con el teléfono móvil y la única copia de las credenciales de acceso del servidor).

  

¿Hay alguna manera de asegurarse de que este nuevo sitio resp. ¿El certificado SSL no está bajo el control del FBI?

No. Por supuesto, cualquier producto de correo electrónico centralizado requiere que se confíe en que el proveedor no haya recibido la nueva clave, o que el nuevo diseño del servidor y el comunicado de correo electrónico no sean los FED disfrazados. En la práctica, Ladar debe decir el número de serie (y mostrarlo en una pancarta de papel) en un video de YouTube mientras muestra su rostro y otras credenciales "biométricas".

    
respondido por el LateralFractal 16.10.2013 - 09:01
fuente
8
  

¿Cuál es la razón para permitir cambios de contraseña solo durante cinco días en este contexto?

Podría especular con que el gobierno sea más lento para obtener una orden judicial. Pero dada la prioridad suficiente, pueden ser muy rápidos. Sé poco sobre las leyes de los EE. UU. En alemán, la policía tiene permisos adicionales en caso de "peligro inminente".

Otra razón podría ser presionar a los usuarios para que actúen rápidamente y proporcionen contraseñas. Esta es una táctica que a menudo utilizan los abogados que quieren presionar a la gente promedio.

Editar : como han señalado jpkrohling y Reid, el servidor no está utilizando Secreto delantero perfecto . Por lo tanto, si la clave del servidor se obtiene en el futuro, el tráfico registrado se puede descifrar. /Edit

  

¿Tiene sentido revisar este número de serie y la huella digital, ya que están impresos en la misma página web en la que se usa el certificado?

Puede ser una buena idea escribir la huella digital real, ya que puede haber otras formas en que esta información se publique en el futuro. El problema aquí es que el uso de este sitio le informará a los operadores del servidor la contraseña original de inmediato.

La información en el sitio web en sí no vale nada, pero puede generar conciencia.

  

¿Hay alguna manera de asegurarse de que este nuevo sitio resp. ¿El certificado SSL no está bajo el control del FBI?

Este no es un problema arraigado en tecnología o matemáticas, sino en la confiabilidad de los operadores de los servidores. Según la cobertura de la prensa y los documentos judiciales, los EE. UU. Ejercieron mucha presión sobre el operador del servidor en el pasado. Parece que no hay ninguna razón obvia por la que esto podría haber cambiado.

O para decirlo muy directamente:

xkcd: 538 Security

Pero tenemos que ver esto en contexto: otros proveedores de correo electrónico, especialmente los grandes, enfrentaron la misma presión y se dieron por vencidos fácilmente. Además, sin pasos adicionales, los correos electrónicos no están encriptados y se recopilan a través de Internet en varias ubicaciones.

Este es un tema difícil: por un lado, sabemos e. sol. de Alemania del Este que poderosas organizaciones gubernamentales secretas son malas. Pero, por otro lado, queremos que los delincuentes sean atrapados y que se prevengan los ataques.

    
respondido por el Hendrik Brummermann 16.10.2013 - 09:10
fuente
3
  

¿Cuál es la razón para permitir cambios de contraseña solo durante cinco días en este contexto?

La única razón por la que puedo pensar es que el archivo descargado sería un archivo tipo ZIP, protegido con esta nueva contraseña. No tenía una cuenta allí, así que no puedo probar esto.

  

¿Tiene sentido revisar este número de serie y la huella digital, ya que están impresos en la misma página web en la que se usa el certificado?

Como ya han mencionado otros, no. La huella digital debería haber sido publicada en un canal de comunicación seguro, diferente al que consume la información. Tal como está actualmente, no hay forma de certificar que esta información sea real, que la información no haya sido falsificada y que la información fue publicada por la entidad que afirma haber publicado (es decir: no sabemos si realmente es Lavabit quien la publica , aunque Go Daddy lo diga).

  

¿Hay alguna manera de asegurarse de que este nuevo sitio resp. ¿El certificado SSL no está bajo el control del FBI?

No. En este momento, debemos asumir que otras partes tienen acceso a las claves. La única manera de garantizar que la comunicación realizada hoy no se pueda descifrar en el futuro es que el propietario del servidor la configure para que sea compatible con "Secreto de reenvío" , que es no el caso Con este nuevo servicio. Por lo tanto, es seguro asumir que algunas entidades almacenan todo el tráfico a este servicio y podrían solicitar las nuevas claves en el futuro, lo que les permitirá descifrar todo el tráfico.

    
respondido por el jpkrohling 16.10.2013 - 13:59
fuente

Lea otras preguntas en las etiquetas