¿El protocolo Axolotl Ratchet sería adecuado para cifrar la comunicación por correo electrónico?

8

Axolotl Ratchet es usado por el Signal (anteriormente conocido como TextSecure) y una versión mejorada de OTR de una manera para hacerlo adecuado para aplicaciones móviles, que tiene la probabilidad de cifrar mensajes sin que ambas partes tengan que estar en línea al mismo tiempo como se describe aquí . El intercambio de claves se produce de forma asíncrona .
Signal también resuelve un par de otros problemas, como el descifrado fuera de orden y evitar que los metadatos se filtren a través de cleartexts.

Esto me parece perfecto como un reemplazo para PGP, que carece de secreto hacia adelante ( PFS) y algunos otros problemas .

¿Qué problemas deberían tenerse en cuenta al crear un complemento de cliente de correo (como Enigmail para Thunderbird) que usa axolotl en lugar de PGP?

    
pregunta rubo77 05.03.2015 - 09:49
fuente

3 respuestas

6

Buena idea, buena pregunta, pero hay un par de problemas que hacen que axolotl no sea una buena solución para los clientes y / o servidores de correo electrónico existentes:

1) La parte asíncrona de TextSecure requiere ayuda del servidor que los servidores de correo electrónico no proporcionan. Específicamente, los servidores TextSecure / Signal distribuyen claves públicas efímeras para usuarios sin conexión. Los servidores de correo electrónico no.

2) Los clientes de Axolotl son necesariamente de estado, rastreando el trinquete clave para cada conversación. Es (nuevamente) que no es una función que los clientes de correo electrónico están diseñados para proporcionar, y hace que sea difícil tener más de un cliente de correo electrónico, ya que requiere la sincronización de ese estado entre los clientes de correo electrónico. P.ej. su cliente de correo electrónico de escritorio debe obtener todas las claves generadas por su cliente de correo electrónico de teléfono inteligente.

Sin embargo, podría ser un buen reemplazo de correo electrónico. Si desea resolver ese problema, consulte el cliente web en desarrollo para TextSecure o Pond. Textsecure / Signal necesita un cliente de escritorio, y Pond necesita un cliente móvil.

Si bien el trinquete de axolotl es brillante y ofrece algunas propiedades de seguridad excelentes, se debe argumentar que las garantías de seguridad que proporciona Axolotl no valen la molestia del mantenimiento del estado en muchos casos de uso.

    
respondido por el George Walker 17.03.2015 - 20:52
fuente
1

Recomiendo Pond para mensajes asíncronos, correo electrónico, que deben estar cifrados de extremo a extremo. Pond utiliza el trinquete axolotl para mantenerlo en secreto, pero Pond también proporciona cierta protección contra el análisis del tráfico.

No vale la pena disfrazar la cantidad, metadatos, etc. de los mensajes cifrados que envías. Cualquier sistema de correo electrónico expondrá sus metadatos al análisis de tráfico. Yo sugeriría usar GnuPG para mensajes únicos o correspondencias poco frecuentes con personas que no usan Pond, pero convencen a las correspondencias regulares de usar Pond.

Un proyecto interesante podría ser un cliente de correo electrónico que intente establecer automáticamente una conexión Pond.

    
respondido por el Jeff Burdges 22.03.2015 - 19:36
fuente
0

No estoy seguro de que la idea de utilizar axolotl para el correo electrónico sea acertada o no, pero vale la pena intentarlo. Mi equipo Tradle eligió crear una alternativa al correo electrónico como @geargewalker había sugerido. Sin embargo, aquí hay algunos consejos para usted:

  1. El primer problema que @georgewalker ha mencionado es solucionable. PGP tiene siempre tenían servidores de clave pública, pero eran demasiado torpes para usar. Una parte de nuestro mensajero, que llamamos Trust In Motion (TiM): la vista previa se encuentra en nuestro sitio web, es utilizar el blockchain como servidor de claves. Puedo proporcionarte toda la ayuda que necesites para Utilice nuestra solución para claves públicas en la cadena para su idea de complemento de correo electrónico. TiM es de código abierto y pronto está ingresando a una beta privada, por lo que puede comenzar a usar el código.
  2. No veo un problema inmediato para mantener el estado en el cliente de correo electrónico, por hilo de conversación, aparte de lo obvio: el otro cliente de correo electrónico tiene que ser compatible con Axolotl. El propio protocolo de Axolotl tiene implementaciones alternativas de JS de terceros .

Buena suerte.

    
respondido por el Gene Vayngrib 27.06.2015 - 23:40
fuente

Lea otras preguntas en las etiquetas