Názory k článku
Ciphire mail - budoucnost šifrování pošty?

Clanek me zaujal, cela aplikace vypadala velice zajimave, az do momentu kdy jsem se docet ze nepodporuje PGP sifrovani. Ve firme jsme nuceni veskerou komunikaci se zakaznikem provozovat sifrovane. A samozrejme jako standartni nastroj se pouziva PGP. Tezko nekde bude presvedcovat velke nadnarodni korporace aby prestali pouzivat osvedcene PGP sifrovani a presli na Ciphire. Je to skoda, neco podobneho co by se chovalo stejne ale pouzivalo PGP by se rozhodne hodilo. Jak bylo v clanku napsano, vetsinou je potreba slozite nastavovat. Docela prijemne se necha nastavit The Bat!

Trosku z jineho soudku:
Jako velice uzitecny jsem osobne shledal programek zvany "Stunnel" Muzete si nakonfigurovat klienta tak ze nepouziva zabezpecenou komunikace se servrem, jako ze to nektery vyborny clienty jako Becky neumej. Stunnel pak veskerou komunikaci sifruje pomoci SSL. Genialni, proste.

Nerozumim tomu s tim stunnelem. To si jako budujete sifrovane spojeni k CEMU? Tim padem musi byt podpora pro SSL na protistrane a pokud se bavime v tomto clanku o podpore SSL pro sifrovani spojeni k POP3/IMAP4/SMTP tak pokud je podpora na mailserveru neni treba na klientovi pouzivat stunnel, ne? Vetsina normalnich klientu dnesni doby pripojeni pres SSL podporuje "nativne", ne?

No ja to chapu tak, ze stunnel doda posporu SSL i do aplikaci ktery ssl nepodporuji .... i kduz ted nevim jestli je potreba to navazat na stunnel na druhe strane, nebo jestli je to mozne primo napojit na masinu a port toho daneho serveru (pop3-secure a tak ..), cimz se usetri jeden daemon na serveru :o)

Proste stunnel jen zabali komunikaci ssl, presne je pouziti do programu, ktere ssl neumi nativne, kdysi jsem takhle s pomoci stunnel tahal postu do pegasus mailu ze serveru, ktery umoznoval POP3 pristup pouze pres SSL

Ja to samozrejme chapu, stunnel pouzivame velmi casto a ja sam i v kombinaci s postovnimi klienty ktere ssl nativne podporuji. Delam to z duvodu AV kontrolu aby se pekne antivir pohl na odchozi 25posadit a ve skutecnosti to pak leze z tunelu ven.

No spis bych napsal "Tezko nekde bude presvedcovat velke nadnarodni korporace aby prestali pouzivat osvedcene X.509 PKI a S-MIME sifrovani a presli na Ciphire." Velko korporace totiz vetsinou nepouzivaji hracky.

Jednak tedy nevim, jestli je ve velkych nadnarodnich korporacich S-MIME tak rozsirene, jak se tu tvrdi, ale budu vam verit ;-)

Problem je v tom, ze PKI je pro podstatnou cast lidi kanon na vrabce. Jinak ale ciste technicky vzato to co pouziva Ciphire je klasicka varianta kryptogtafie s verejnym klicem, takze to je asi stejna hracka, jako S-MIME ;-) Rozdil je v tom, ze se klic neposila mezi subjekty, ale stahuje ze serveru Ciphire.

Podle mych zkusenosti pouzivaji nadnarodni korporace prevazne (99+%) plaintext. :-) To co mi obcas prijde do mailu (a co si nekteri manageri troufnou poslat verejnou siti) je vskutku tezko uveritelne. Maximalni stupen zabezpeceni je zaheslovany wordowsky dokument (nebo heslo v ZIPu) s tim, ze heslo je poslane SMSkou na mobil. Ale to jsou jenom svetle vyjimky, vetsina se s bezpecnosti vubec nezatezuje.

No oni to pošlou nešifrované, ale kdyby aspoň plaintext. To spíš bude příloha ve Wordu s logem .BMP a dvěma řádky textu.

Ale nejvíc mě rozesmějí ty patičky, že mail je super tajný a pouze pro firmu XY a mám informovat odesilatele a jít se zastřelit.

Je to tak. Do souboje PGP x S/MIME, kteréžto používá většina z toho 1% (možná o něco více), těžko pronikne někdo další s proprietárním řešením. PGP si je vědomo nevýhod různých pluginů a zkouší to ve firmách přes proxy PGP Universal - http://www.pgp.com/products/universal/index.html

Tahle kombinace je docela dobra. Muzete nastavit pravidla pro adresaty atd. Musim priznat ze ciphermail nevypada spatne, ale one-man show a nepodpora pgp to celkove dost snizuji.

mas recht!:)
http://enigmail.spi.cz/

pro ty co pouzivaji funkcni e-mailovy klient!;-)

enigmail podporuje PGP/MIME!:o)

No ti co pouzivaji funkcni emailovy klient maji X.509 PKI a S-MIME zabudovane a kdo by se pak obtezoval s nejakym enigmail a PGP, ze.

Asi bych se neodhodlal k tomu, abych dal cizímu programu, který je navíc dost neprůhledný, možnost odchytávat veškerý svůj síťový provoz a spokojil se s ujištěním, že nebude monitorovat případně zasahovat do ničeho jiného, než přenos pošty. Zvlášť když se připojuje k nějaké centrální databázi, kdo ví, co tam všechno posílá. To raději zvolím složitější konfigurace, ale budu vědět, co přesně to může a nemůže provést.

Na me to taky pusobi dost neduveryhodne. Na svoje pocitace bych to nepustil. A to nejsem nijak paranoidni. Nebojim se ani tak prolomeni sifry (stejne emaily nesifruju), ani spionaze v systemu. Ale bojim se, ze takovyto uzavreny system provadejici ne zrovne koser akce, neni moc stabilni.

asi tak.. Článek jsem četl až do okamžiku, kdy jsem zjistil, že to nějak spolupracuje s nějakým serverem kdoví kde. Děkuju, ale o takovéhle programy nemám zájem.

Autor na tom musí být opravdu zle, když do titulku napíše cosi o budoucnosti a pak se ukáže, že to má úplně nesmyslnou architekturu, je to produkt jakési neznáme firmy a pořádně funguje jen pod Windows :)

Tady už se o nějaké úrovni Lupy nedá ani mluvit...

Mozna proto je v tom titulku ten otaznik :)

JJ, cozpak nevite, ze "Konci-li novinovy titulek otaznikem, odpoved je Ne!" ;-)

Jinak s vyhradami uvedenymi v diskusi souhlasim (s tim, ze pokud to bude Open Source, tak to nektere obavy trochu rozptyli), koneckoncu jsem je i napsal do clanku.

Ale: Soucasna reseni jsou sice pekna, ale pro masove nasazeni se proste moc nehodi - jsou prilis slozita. Ciphire je velmi jednoduchy a opravdu pouzitelny i pro BFU a IMHO se uvadene vyhrady co k nemu mam(e) daji odstranit beze ztraty teto pouzitelnosti.

No taky tomu moc neduveruju ... a i kdyz klienta daj opensource, porad je tu ta serverova cast, kterou spravuje jedina firma. Co kdyz firma zkrachuje? Co kdyz jejich servery postihne vypadek? V obou pripadech prestane program fungovat (v lepsim pripade nic nezasifruje, v horsim prestane fungovat uplne. Je praveda, ze nejaka lokaqlni cache by to mohla resit, ale stejne by to chtelo uz ten koncept programu ponekud doladit...)

Mne to cele pripada uplne nezmyselne, ked kazdy rozumny e-mail clinet podporuje sifrovanie cez S-MIME. Navyse instalacia certifikatu napr. od Thawte http://www.thawte.com/email/index.html mi nepripada ani trochu zlozita.
Osobny certifikat ja zadarmo, ale nie je v nom uvedene meno. Z pochopitelnych dovodov. Clovek po registracii nie je overeny. K tomu ma Thawte pomerne prepracovany system WOT (World Of Trust) Notary. Ktokolvek dostatocne overeny (inym WOT Notarom) moze pridelit urcity pocet bodov a po ziskani 50 bodov budete mat vo svojom certifikate i svoje vlastne meno. Jeden notar moze pridelit maximalne 35 bodov, takze je potreba overenie minimalne od dvoch notarov. System je transparentny a navyse, ak je v podpise moje meno, da sa s vekmi vysokou pravdepodobnostou predpokladat, ze som to skutocne podpisal ja.

Druha moznost je PGP. Je to dlhodobo pouzivana a overena metoda. Taktiez transparentna, na sifrovanie skvela.

Ja pouzivam oboje. Vsetky maily podpisujem certifikatom od Thawte a dolezite maily sifrujem cez PGP. Takze kolega odo mna dostane e-mail zasifrovany cez PGP a navyse podpisany certifikatom od Thawte.

Presne tak, taky mi to pride nesmyslny, kdyz S-MIME podporuje kde co. Vlastne ani nevim, proc pouzivat PGP, kdyz je do kazdyho klienta jen jako plugin :-)

Presne tak seriozni vyrobci software do svych projektu implementuji seriozni standardy a hracickove co si radi hraji s hrackami k tomu dodavaji pluginy na hrani. :-)

no to mi prijde dost silenost pouzivat X.509 a PGP dohromady

Ma to svoje vyhody. PGP si mozem dekodovat i v prompte cez gnupg, nech som kdekolvek na svete. V kombinacii s java-aplet ssh, tak mam bezpecny pristup i k zakodovanemu obsahu.

http://crypto-world.info/news/index.php?prispevek=1192

stojí za přečtení