Lavaboom: новый сервис защищённой почты

http://lavaboom.com/administrator/ никакого доверия к таким почтовикам

 

Другими словами, АНБ или ФБР не могут потребовать выдачи секретных SSL-ключей через суд и вынудить сервер прекратить свою работу, как это случилось с Lavabit.

root SSL-ключи, которыми подписываются нисходящие SSL-ключи серверов - централизованные authority, несколько учреждений в англоязычных странах.
И вся система сертификации этих ключей основана на *доверии* миллионов лишь к десятку-другому сертификатов в вершине пирамиде.

Открыв настройки браузера - можно видеть, какие это учреждения.

Серверы могут стоять хоть в гараже у Сноудена, хоть в бараке у Бин-Ладена - но изначально скомпрометированные.

Из личного опыта.
В своё время, имел личный S/MIME issued by certificate authority (CA) Thawte (того самого, что подписывает ключи топ-левел инет бизнесов) для цифровой подписи мейл и криптования мейл мессидж.

Так вот, отправляя мессагу с онлайн контакт формуляра, заметил одно недокументированную особенность.
Подменяя цифры в заголовке запроса, получал доступ к переписке между этого certificate authority и их клиентов и далее - их данных.

Такая надежность и безопасность.

 

намного легче вести беспалевную переписку, как боевики аль-каиды- просто иметь один гмаил аккаунт и править письма в черновиках, дописывая ответы- никаких пересылок

 

Нафига такой проект вешать на Joomla?

 

хранятся черновики опять же на серверах гугл, к которым нет direct control,
и путь их, от кэш-серверов гугл до рутера персонального или смартфона - it's everyone's guess.

 

Лучшая CMS тысячелетия.

 

Безопасность - это такое мифологическое существо в которое верили раньше, но теперь основательно позабыли. (С) себя

 

Объясните глупому, почему PGP нынче не в почете? Научились быстро факторизовать 1024 битные РСА ключи?

Имхо PGP+любой фри почтовик(хоть с прямой пересылкой на сервера спецслужб) - это вин

 

почему PGP и GPG не проституируют себя на каждом перекрёстке, налево и направо?
так вот, они используются и будут потребны.

имел место сайт K-BOOK, с эротикой подростков и для подростков, обоих половых ориентаций.
чтобы чужие не глядели, картинки паковали в zip и шифровали PGP.

этим радостям жизни положили конец не в меру любопытные пенсианеры, они же исследователи чужих кастрюль - "А что там у вас варится, а я хочу попробовать без спроса!"

Кто успел, научился работать с PGP/GnuPG.
Ironically said, обмен семейными фотами с мальчиками и девочками, на спортивных пляжах - шел через eGroups/Google Groups.

 

я бы сказал самая тормознутая кривоватая и уязвимая CMS тысячелетия. на DLE лучше бы делали.

 

Шутник дня

 

Ну тут 2 варианта, либо "исследователи чужих кастрюль" получили каким-то образом закрытый ключ, либо факторизовали недостаточно длинный открытый ключ, но тем не менее это не снимает мой вопрос. Зачем собирать деньги, открывать какие-то псевдо-защищенные почтовые сервисы, когда нужно использовать шифрование с достаточно длинным ключом?
В случае RSA и эльгамаля - это 1024+бит, а в случае c АЕСом достаточно будет 256 бит

 

Помни закон США обязывает оставлять бекдоры/уязвимости во всех кодах.

Т.е. в OC уже есть бекдор, ключи достать не проблема.
Так же в других кодах для OC

 

Этот же вопрос поставил на форуме асечников и сам же ответил, продемонстрировав работу CKT/Cyber Knights Templar PGP 6.5.8 - последней открытой версии PGP.

Не взлетело - из-за отсутствия мотивации и присутствия лени аудитории.

 

No.
Изначально, сама процедура генерации ключей исключает возможность tampering.

Yes.
Файл с ключем, возможно найти среди других файлов по сигнатуре в заголовке файла.
Но нужно знать еще и шифрованную ключевую фразу, чтобы ключ активировать.

Шифрованная фраза - хранится в голове.

 

Нах почту юзать если есть жаба со всеми примочками? Почту юзают одни долпоебы.