No se puede entender la supuesta vulnerabilidad de ProtonMail del artículo de wired.com

Navega tus respuestas
12

Actualmente estoy leyendo un artículo sobre ProtonMail aquí y no lo entiendo.

  

Ahora vamos a abordar las debilidades de ProtonMail. Uno de los grandes problemas es   que no es fácil saber si un mensaje enviado a otra persona   El usuario de ProtonMail se está cifrando al público correcto del destinatario   clave, que se almacena en el servidor de claves de ProtonMail. Por ejemplo, si Alice   envía a Bob un mensaje cifrado a su clave pública, es más difícil para   Alguien más lea el mensaje. Pero como ProtonMail distribuye el   claves de cifrado para los usuarios, tiene la capacidad técnica para dar a Alicia    sus propias claves además de las de Bob, cifrando así los mensajes en un   una forma que le permitiría escuchar a escondidas.

¿Qué significa "sus propias claves"? Cifras los mensajes usando solo claves públicas y son, bueno, públicas. Entonces, ¿dónde está el problema, de hecho, que alguien conoce a alguien más la clave pública?

ACTUALIZACIÓN Después de los comentarios y la respuesta, me di cuenta de que la confusión desaparece si vuelve a redactar la oración resaltada de esta manera:

  

Pero como ProtonMail distribuye las claves de cifrado a los usuarios, tiene la capacidad técnica de proporcionarle a Alice claves maliciosas recién generadas en lugar de las de Bob, cifrando así los mensajes de una manera que le permita para descifrarlos en el servidor (usando la clave privada de las claves recién generadas) incluso sin conocer la clave privada de Bob.

    
pregunta Yurii 01.08.2016 - 10:22
fuente

2 respuestas

12

Esto es principalmente una conjetura sobre lo que significan:

Bueno, los esquemas de clave pública necesitan un tercero de confianza. En este caso, se asume que ProtonMail es el tercero, quienes, la primera vez que Alice y Bob se comunican, le dan a Alice una clave pública de su propiedad. Cuando Alice envía correos a Bob ProtonMail, descifra el correo y lo cifra con la clave de Bob, pero se queda con el correo no cifrado. Entonces, como dice el artículo:

  

ProtonMail le permite exportar su clave pública y enviarla a otra persona, pero no puede confirmar fácilmente si sus mensajes de ProtonMail se están enviando a la misma clave. Se necesitarían chuletas tecnológicas serias para verificar la clave.

Puede enviar la clave pública al destinatario de antemano, pero deben confiar en que usted la envía.

    
respondido por el RLFP 01.08.2016 - 10:33
fuente
1

Nuevamente, todo depende del modelo de web de confianza. A menos que cumpla con su punto final cara a cara, tendrá que depender de la corroboración de identidad de terceros. Incluso un intercambio de claves no es válido si el hombre en el medio es el intercambio de claves y usted no tiene la capacidad de verificar la firma fuera de banda.

En este caso, no podrá determinar la recepción del mensaje o las copias múltiples de su existencia.

    
respondido por el munchkin 07.08.2016 - 04:05
fuente

Lea otras preguntas en las etiquetas

¿Está bien usar la misma contraseña para un inicio de sesión en Linux y la clave privada SSH? ¿Cómo puedo saber si un archivo PDF que me enviaron contiene malware?