¿El protocolo Axolotl Ratchet sería adecuado para cifrar la comunicación por correo electrónico?

Buena idea, buena pregunta, pero hay un par de problemas que hacen que axolotl no sea una buena solución para los clientes y / o servidores de correo electrónico existentes:

1) La parte asíncrona de TextSecure requiere ayuda del servidor que los servidores de correo electrónico no proporcionan. Específicamente, los servidores TextSecure / Signal distribuyen claves públicas efímeras para usuarios sin conexión. Los servidores de correo electrónico no.

2) Los clientes de Axolotl son necesariamente de estado, rastreando el trinquete clave para cada conversación. Es (nuevamente) que no es una función que los clientes de correo electrónico están diseñados para proporcionar, y hace que sea difícil tener más de un cliente de correo electrónico, ya que requiere la sincronización de ese estado entre los clientes de correo electrónico. P.ej. su cliente de correo electrónico de escritorio debe obtener todas las claves generadas por su cliente de correo electrónico de teléfono inteligente.

Sin embargo, podría ser un buen reemplazo de correo electrónico. Si desea resolver ese problema, consulte el cliente web en desarrollo para TextSecure o Pond. Textsecure / Signal necesita un cliente de escritorio, y Pond necesita un cliente móvil.

Si bien el trinquete de axolotl es brillante y ofrece algunas propiedades de seguridad excelentes, se debe argumentar que las garantías de seguridad que proporciona Axolotl no valen la molestia del mantenimiento del estado en muchos casos de uso.

Recomiendo Pond para mensajes asíncronos, correo electrónico, que deben estar cifrados de extremo a extremo. Pond utiliza el trinquete axolotl para mantenerlo en secreto, pero Pond también proporciona cierta protección contra el análisis del tráfico.

No vale la pena disfrazar la cantidad, metadatos, etc. de los mensajes cifrados que envías. Cualquier sistema de correo electrónico expondrá sus metadatos al análisis de tráfico. Yo sugeriría usar GnuPG para mensajes únicos o correspondencias poco frecuentes con personas que no usan Pond, pero convencen a las correspondencias regulares de usar Pond.

Un proyecto interesante podría ser un cliente de correo electrónico que intente establecer automáticamente una conexión Pond.

No estoy seguro de que la idea de utilizar axolotl para el correo electrónico sea acertada o no, pero vale la pena intentarlo. Mi equipo Tradle eligió crear una alternativa al correo electrónico como @geargewalker había sugerido. Sin embargo, aquí hay algunos consejos para usted:

1. El primer problema que @georgewalker ha mencionado es solucionable. PGP tiene siempre tenían servidores de clave pública, pero eran demasiado torpes para usar. Una parte de nuestro mensajero, que llamamos Trust In Motion (TiM): la vista previa se encuentra en nuestro sitio web, es utilizar el blockchain como servidor de claves. Puedo proporcionarte toda la ayuda que necesites para Utilice nuestra solución para claves públicas en la cadena para su idea de complemento de correo electrónico. TiM es de código abierto y pronto está ingresando a una beta privada, por lo que puede comenzar a usar el código.
2. No veo un problema inmediato para mantener el estado en el cliente de correo electrónico, por hilo de conversación, aparte de lo obvio: el otro cliente de correo electrónico tiene que ser compatible con Axolotl. El propio protocolo de Axolotl tiene implementaciones alternativas de JS de terceros .

Buena suerte.