Witryna jest wciąż w budowie, informacja na temat wszystkich naszych usług już niebawem!
OK
Polska
Poufne rozmowy
Tomasz Tomasz
bezPIeczeństwo
2023-10-20

Co jakiś czas fale internetu wyrzucają na brzeg wiadomości, które miały nigdy nie opuścić skrzynek mailowych swoich właścicieli. Czasami jest to dosyć naturalistyczne zdjęcie polityka, gorzej gdy są to wiadomości, dotyczące spraw ważnych, ważniejszych lub zagadnień państwowych…

Ktoś, kiedyś powiedział: „tajemnicę możesz trzymać we własnej głowie, reszta to już informacja”. Dla mnie wszystko jest informacją, która ma różne atrybuty. Jakie to atrybuty?
Poufność, integralność, dostępność. Można jeszcze dorzucić autentyczność, rozliczalność, niezaprzeczalność, niezawodność (ale skupmy się na trzech pierwszych).

Poufność oznacza dostęp do informacji tylko dla określonych osób. Wysyłając zdjęcia z wypadu kawalerskiego, w momencie kiedy oficjalnie jesteś na zwolnieniu, masz nadzieję, że zobaczą je jedynie uczestnicy imprezy i nie dotrą np. do pracodawcy. W momencie gdy wciskasz Enter (wysyłając mailem czy jakimkolwiek innym sposobem) musisz liczyć się z tym, że utrata poufności jest możliwa. Czy w tym tekście znajdziesz stuprocentowy sposób na to ryzyko? Tak – nie rób zdjęć, lub żyj tak, aby się nie martwić jeśli zdjęcia wyciekną – oto jedyny sposób. `

Póki rozwinę temat poufności, krótko o integralności i dostępności. Integralność dotyczy niezmienności informacji. Jeśli ktoś po drodze przerobi zdjęcie, doda/usunie twarz (czy inną część ciała), a także zmieni datę, to informacja traci integralność. Dostępność: trzymając zdjęcia w sejfie, zamurowanym w kuchni i zastawionym lodówką. zmniejszamy jej dostępność – zwiększając oczywiście poufność. Przeczucie, że mniejsza dostępność to większa poufność jest prawidłowe, trudniej zabezpieczyć informacje, które mają również być wysoce dostępne.

Obecnie dostawcy poczty elektronicznej, bo na niej tutaj się skupię, generalnie dobrze zabezpieczają naszą korespondencję. Mamy DKIM, który sprawdza autentyczność nadawcy, protokoły do szyfrowanej wysyłki wiadomości, „gdzieniegdzie” szyfrowanie end-to-end (np. Proton). Jednak problem poufności nie zaczyna się i nie kończy się na serwerach u naszego dostawcy.

Email swój żywot rozpoczyna na naszym urządzeniu (laptop, telefon, tv, cokolwiek). Już na tym etapie poufność może być utracona, czy to przez osoby stojące za naszymi plecami, czy też programy „wsłuchujące” się w klawiaturę np. keyloggery, ataki XSS, podłączone badusb i inne. Kiedy po napisaniu wiadomości wciśniemy enter, wiadomość leci na serwer naszego dostawcy poczty. Podróżuje po kablu, lub bez kabla. W trakcie podróży atrybut poufności również jest zagrożony. Dzięki stosowaniu szyfrowanej przesyłki, odczytanie wiadomości po drodze jest trudne (ale nie niemożliwe). Z tego właśnie względu odradza się używanie wszelkiego rodzaju otwartych sieci bezprzewodowych.

Dalej wiadomość wskakuje na Twój serwer i dalej na serwer adresata, a ostatecznie również na jego urządzenie. Tam czekają te same niebezpieczeństwa co na początku drogi. Co gorsza, wiadomości email nie lubią być kasowane, raczej leżą sobie spokojnie w folderze przeczytane, gdzie czekają na ewentualny atak w przyszłości. Gdzieś w przyszłości mogą „wypłynąć”, jak zdjęcia z dzieciństwa, o których chcielibyśmy zapomnieć (ja np. mam w sukience, dzięki uprzejmości starszej siostry 🙂 ).

Zazwyczaj jeśli coś idzie nie tak, to raczej jest to wina użytkownika – i tutaj nic się nie zmieniło od czasów kolei żelaznej. Na nic zdadzą się setki protokołów szyfrujących jeśli hasło do poczty będzie słabe. Superdlugi3haslo również nie pomoże, jeśli będzie stosowane na więcej niż jednym portalu. Użytkownika te wszystkie wymagania męczą, ma być szybko, łatwo i przyjemnie.

Szybko i przyjemnie jest całkiem pociągającym rozwiązaniem, jednak dłużej i bezpieczniej bardziej mnie przekonuje i Ciebie również powinno. Nie znam już większego dostawcy poczty email, który nie pozwalałby na stosowanie uwierzytelniania dwuskładnikowego, czyli hasło + wihajster. Gdzie wihajster to takie coś co mamy, z czymś takim co musimy przekazać do aplikacji – np. kod generowany w oddzielnej aplikacji. Gdyby więcej osób używało uwierzytelniania dwuskładnikowego, istnieje duża szansa, że na popularnych portalach widzielibyśmy mniej poufnych rozmów…. Przy okazji warto wspomnieć, że nie warto logować się wszędzie i na wszystkim. Posiadanie swoich zaufanych urządzeń jest dobrą praktyką.

Na koniec dwa słowa o OpenPGP, które możesz spotkać na mojej stronie kontaktowej.
OpenPGP jest rozwiązaniem „dojrzałym” (powstało w roku 1991) w świecie bezpieczeństwa wiadomości pocztowych i wartym zainteresowania. Do szyfrowania przesyłki używany jest klucz asynchroniczny. Działa to w dużym skrócie następująco:
Ja mam swój klucz prywatny, który trzymam bezpiecznie na komputerze, a drugi klucz (publiczny) udostępniam. Klucze te mają taką magiczną (matematyczną) właściwość, że po zaszyfrowaniu informacji jednym z nich (np. prywatnym), odczytanie jest możliwe jedynie przy użyciu drugiego klucza z pary (w tym przypadku publicznego).

Pisząc do mnie wiadomość używasz do zaszyfrowania przesyłki swojego klucza prywatnego i mojego klucza publicznego. Wysyłasz wiadomość, która przez proces szyfrowania wygląda jak bazgroły pijanego kosmity. Odczytać ją może jedynie osoba posiadająca mój klucz prywatny (w domyśle, tylko ja). Po co w tym wszystkim Twój prywatny klucz w przesyłce? Otóż standard PGP, poza szyfrowaniem wiadomości, potwierdza również kto wysłał wiadomość. Mając Twój klucz publiczny, dokładam te połówkę do zaszyfrowanej wiadomości i potwierdzam, że jesteś nadawcą – to służy jako rodzaj podpisu. Tutaj muszę zaznaczyć, że szyfrując wiadomość nie przekazałeś mi klucza prywatnego.

Klucze publiczne można przekazywać szerokiemu gronu, używając takich nowoczesnych „książek telefonicznych”, jak to zrobiłem, lub przekazać „pod stołem” tylko wybranym. Ważnym elementem, jest tutaj potwierdzenie, że konkretny klucz faktycznie należy do konkretnego użytkownika, ponieważ nie jest to weryfikowane. Do takiego „szybkiego” potwierdzania służą „fingerprinty”. W ważnych wiadomościach, warto dwa razy zapytać o fingerprint ;).
I znów, jest bezpieczniej, ale dłużej…

Jaki jest plus używania OpenPGP? Można o tym porozmawiać ze znajomymi przy piwie i dostajesz +10 do „hakierstwa”. Wysyłając wiadomość szyfrowaną OpenPGP dokładasz jeden poziom szyfrowania wiadomości, więc nawet jeśli ktoś je znajdzie na niepilnowanej skrzynce pocztowej lub pendrivie zgubionym na korytarzu, to jest duża szansa, że zobaczy tylko bazgroły pijanego kosmity.

asynchronicznie informacja mail PGP szyfrowanie
like-icon -
0
Related Posts
Leave a Reply

Your email address will not be published.Required fields are marked *

cookie Korzystając ze strony, akceptujesz naszą politykę prywatności. Close