Discussion:
servizio email "sicuro"
(too old to reply)
matteo filippetto
2014-05-21 11:54:34 UTC
Permalink
ciao,

cercando servizi email "sicuri" mi sono imbattuto in questo servizio

https://protonmail.ch/

"ProtonMail was founded in summer 2013 at CERN by scientists who were
drawn together by a shared vision of a more secure and private
Internet. Early ProtonMail hackathons were held at the famous CERN
Restaurant One. ProtonMail is developed both at CERN and MIT and is
headquartered in Geneva, Switzerland. We were semifinalists in 2014
MIT 100K startup launch competition and are advised by the MIT Venture
Mentoring Service."


qualcuno di voi lo usa ? qualche esperienza? alternative?

grazie, buona giornata
--
Matteo Filippetto
http://www.op83.eu
@matteo_1983
Cosimo Streppone
2014-05-22 07:42:21 UTC
Permalink
Post by matteo filippetto
cercando servizi email "sicuri"
Scusa la domanda, sicuri in che senso?
--
Cosimo
Profetiko
2014-05-22 10:51:58 UTC
Permalink
Credo intenda cifrati end to end
Post by Cosimo Streppone
Post by matteo filippetto
cercando servizi email "sicuri"
Scusa la domanda, sicuri in che senso?
--
Cosimo
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
danimoth
2014-05-21 22:27:26 UTC
Permalink
Post by matteo filippetto
alternative?
Non so cosa tu intenda per sicuro, di sicuro a questo mondo non c'è
niente.. io comunque utilizzo da anni i servizi di autistici/inventati,
mi costa qualche euro in donazione all'anno (perchè penso se li
meritino) e non ho mai avuto un problema.
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
matteo filippetto
2014-05-22 10:24:26 UTC
Permalink
Post by matteo filippetto
alternative?
Non so cosa tu intenda per sicuro, di sicuro a questo mondo non c'Ú
niente..
si ok, siamo d'accordo ....

Per "sicuro" intendo che

- le mail non siano in chiaro
- il servizio non richieda troppe informazioni (sull'identità) per essere usato
- gli accessi, le operazioni non siano loggati
- chi offre il servizio sia affidabile e che non abbia degli interessi
particolari (forse Ú il punto più importante....)

Il servizio di autistici/inventati ed anche riseup sono alternative
su cui mi sto informando.

grazie
--
Matteo Filippetto
http://www.op83.eu
@matteo_1983
danimoth
2014-05-23 09:54:55 UTC
Permalink
Post by matteo filippetto
Per "sicuro" intendo che
- le mail non siano in chiaro
Forse sono io che non capisco, in tal caso ti chiedo scusa in anticipo,
però è davvero un non-sense quello che hai scritto. O se il senso è
quello che tra poco andrò a scrivere, è una stupidata :-) (Disclaimer [1])

Allora, la situazione per me è a strati. C'è chi pensa al protocollo
SMTP (diversi nodi in giro per la rete) e c'è chi pensa allo storage
delle mail. Per gradi: se vuoi che le mail non siano in chiaro, lungo
tutto il percorso, l'unica soluzione possibile è crittarle end-to-end.
Un corollario è che se sono tutte crittate end-to-end, ti interessa poco
chi ti sta servendo il servizio SMTP.

Da altre mail, sembra che tu stia cercando qualcosa di simile a Lavabit;
che riceva i tuoi messaggi (quindi servizio SMTP in chiaro) e poi li
salvi crittandoli. A parte i problemi di gestione della chiave (io ci
farei poco affidamento sui server remoti) potresti facilmente ottenere
un risultato del genere scaricando i messaggi via POP (non lasciandoli sul
server), crittarli con un algoritmo simmetrico con la chiave che scegli
tu, e poi salvarli in remoto (ad es. su Dropbox). Puoi costruirti un
indice, facendo ad esempio un dizionario (mitt, oggetto) --> hash msg da
salvarti in locale, per facilitare le ricerche.
Magari esiste già qualcosa del genere..

IMHO, tutte le soluzioni che non prevedano un end-to-end nel nome sono
da scartare, perchè danno un falso senso di "sicurezza". E poi, come se
non bastasse, in tutte le soluzioni che prevedono un end-to-end nel
nome, bisogna controllare la metodologia della "costruzione" del segreto
condiviso.. con tutte le problematiche (e gli attacchi) connesse/i.
Post by matteo filippetto
- il servizio non richieda troppe informazioni (sull'identità) per essere usato
- gli accessi, le operazioni non siano loggati
- chi offre il servizio sia affidabile e che non abbia degli interessi
particolari (forse è il punto più importante....)
Autistici/Inventati. E sottolineo l'importanza delle donazioni; meglio
chi espressamente chiede soldi per mantenere un certo servizio di chi ci
dà tutto gratis, trasformandoci però in prodotti da vendere.


[1] Disclaimer: I toni sono assolutamente benevoli. E' una liberazione
leggere di queste cose su una mailing list italiana, almeno si ravviva
un pò la lista; se ti irrita, vedrò di cambiare al più presto le
parole.
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Claudio Telmon
2014-05-25 10:42:07 UTC
Permalink
Post by danimoth
Allora, la situazione per me è a strati. C'è chi pensa al protocollo
SMTP (diversi nodi in giro per la rete) e c'è chi pensa allo storage
delle mail. Per gradi: se vuoi che le mail non siano in chiaro, lungo
tutto il percorso, l'unica soluzione possibile è crittarle end-to-end.
Un corollario è che se sono tutte crittate end-to-end, ti interessa poco
chi ti sta servendo il servizio SMTP.
Per come ho capito il il servizio (in particolare in riferimento al
mandare mail a chi non usa quel servizio), direi che il servizio
funziona così:
- tu hai un'interfaccia Web che ti permette di scrivere/leggere
messaggi. L'interfaccia in realtà prevede un componente client side (un
applet) che cifra localmente i messaggi prima di mandarli al server (o
li decifra dopo averli scaricati). Cito: "ProtonMail employs SSL to
ensure our encryption codes are properly delivered to user’s browsers
and not tampered with en-route."
https://protonmail.ch/blog/protonmail-threat-model/
I messaggi cifrati mandati al server sono memorizzati lì e inviati via
SMTP in formato PGP. Chi non ha PGP può connettersi al sito e vederli
con la stessa interfaccia web che gli scarica l'applet.

Quindi in questo caso hai:
- primo strato, SSL (per proteggere il trasferimento dell'applet,
soprattutto)
- secondo strato, cifratura della mail

Nei confronti di terzi, stesso mecanismo oppure sola cifratura PGP su
SMTP in chiaro.
Naturalmente, questo è quello che ci ho capito io.

ciao

- Claudio
--
Claudio Telmon
***@telmon.org
http://www.telmon.org
matteo filippetto
2014-05-26 11:06:12 UTC
Permalink
Post by Claudio Telmon
Post by danimoth
Allora, la situazione per me Ú a strati. C'Ú chi pensa al protocollo
SMTP (diversi nodi in giro per la rete) e c'Ú chi pensa allo storage
delle mail. Per gradi: se vuoi che le mail non siano in chiaro, lungo
tutto il percorso, l'unica soluzione possibile Ú crittarle end-to-end.
Un corollario Ú che se sono tutte crittate end-to-end, ti interessa poco
chi ti sta servendo il servizio SMTP.
Per come ho capito il il servizio (in particolare in riferimento al
mandare mail a chi non usa quel servizio), direi che il servizio
- tu hai un'interfaccia Web che ti permette di scrivere/leggere
messaggi. L'interfaccia in realtà prevede un componente client side (un
applet) che cifra localmente i messaggi prima di mandarli al server (o
li decifra dopo averli scaricati). Cito: "ProtonMail employs SSL to
ensure our encryption codes are properly delivered to user’s browsers
and not tampered with en-route."
https://protonmail.ch/blog/protonmail-threat-model/
I messaggi cifrati mandati al server sono memorizzati lì e inviati via
SMTP in formato PGP. Chi non ha PGP può connettersi al sito e vederli
con la stessa interfaccia web che gli scarica l'applet.
- primo strato, SSL (per proteggere il trasferimento dell'applet,
soprattutto)
- secondo strato, cifratura della mail
si infatti, come loro stessi scrivono (se non ho capito male)

protezione client-server

"Message data between our server and your browser is already sent
encrypted, but we use SSL to add another layer of protection and to
ensure that the web pages your browser loads is not tampered with by a
third party intercepting your traffic in a MITM (Man in the Middle)
attack"

protezione tra server

"We support sending encrypted communication to non-ProtonMail users
via symmetric encryption. When you send an encrypted message to a
non-ProtonMail user, they receive a link which loads the encrypted
message onto their browser which they can decrypt using a decryption
passphrase that you have shared with them. You can also send
unencrypted messages to Gmail, Yahoo, Outlook and others, just like
regular email"

ciao!
--
Matteo Filippetto
http://www.op83.eu
@matteo_1983
Claudio Telmon
2014-05-26 14:14:51 UTC
Permalink
Post by matteo filippetto
"We support sending encrypted communication to non-ProtonMail users
via symmetric encryption. When you send an encrypted message to a
non-ProtonMail user, they receive a link which loads the encrypted
message onto their browser which they can decrypt using a decryption
passphrase that you have shared with them. You can also send
unencrypted messages to Gmail, Yahoo, Outlook and others, just like
regular email"
Ok, cercavo questo punto ma quando ho scritto la mail non lo trovavo,
anche perché il loro server mi è risultato irraggiungibile per un'intera
giornata. Da come la scrivono, in realtà loro non mandano neanche mail
cifrate, ma solo mail con un link al loro sito. Questo vuole dire che
loro lavorerebbero più come una "message board" su cui scambiarsi
messaggi cifrati, che come un servizio di posta. Il che magari dal punto
di vista della riservatezza va bene, ma da quello della disponibilità,
del lock-in e dell'integrazione con gli strumenti di posta di un
qualsiasi destinatario può essere un problema.
--
Claudio Telmon
***@telmon.org
http://www.telmon.org
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
danimoth
2014-05-27 07:55:22 UTC
Permalink
Post by Claudio Telmon
Per come ho capito il il servizio (in particolare in riferimento al
mandare mail a chi non usa quel servizio), direi che il servizio
Non avevo capito ci si riferisse ad un servizio in particolare
(non so mai se ricevo tutte le mail oppure no, a volte mi arrivano solo
le risposte).

Per il servizio specifico, qui [1] c'è una discussione in atto; non lo
conosco, dovrei andare a studiarlo, ma ho una domanda: l'utente A deve
comunque conoscere la public key dell'utente B per poterne cifrare
correttamente i messaggi (a tal proposito, non vedo nessuna novità per
Post by Claudio Telmon
Chi non ha PGP può connettersi al sito e vederli
con la stessa interfaccia web che gli scarica l'applet.
Mi fa pensare che, per chi non ha PGP, venga usato un segreto che poi
verrà memorizzato sul server, e passato al computer client usando SSL.
L'approccio rende inusabile il tutto (non è più end-to-end, occorre
fidarsi del loro server). E' corretto?

Grazie mille

[1] https://cpunks.org//pipermail/cypherpunks/2014-May/004499.html
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
matteo filippetto
2014-05-27 10:58:04 UTC
Permalink
Post by danimoth
Mi fa pensare che, per chi non ha PGP, venga usato un segreto che poi
verrà memorizzato sul server, e passato al computer client usando SSL.
L'approccio rende inusabile il tutto (non Ú più end-to-end, occorre
fidarsi del loro server). E' corretto?
penso (ma magari sbaglio) che per chi non PGP sul pc / smartphone /
... venga utilizzato

http://openpgpjs.org/
--
Matteo Filippetto
http://www.op83.eu
@matteo_1983
Claudio Telmon
2014-05-27 18:14:55 UTC
Permalink
Post by danimoth
Mi fa pensare che, per chi non ha PGP, venga usato un segreto che poi
verrà memorizzato sul server, e passato al computer client usando SSL.
L'approccio rende inusabile il tutto (non è più end-to-end, occorre
fidarsi del loro server). E' corretto?
Penso di no. Non ricordo in quale parte del sito, ma mi pare che in quel
caso prevedano una cifratura simmetrica, in cui il segreto/chiave
dovrebbe essere concordato fra le due parti mediante un side channel
(ovvero, si mettono d'accordo prima per telefono). Il che non è in
contrasto con l'uso, come strumento di cifratura e codifica, di
openpgpjs. La mia è comunque sempre una speculazione sulla base delle
info sul sito, non l'ho provato.
--
Claudio Telmon
***@telmon.org
http://www.telmon.org
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
matteo filippetto
2014-06-30 09:51:57 UTC
Permalink
Post by Claudio Telmon
Post by danimoth
Mi fa pensare che, per chi non ha PGP, venga usato un segreto che poi
verrà memorizzato sul server, e passato al computer client usando SSL.
L'approccio rende inusabile il tutto (non è più end-to-end, occorre
fidarsi del loro server). E' corretto?
Penso di no. Non ricordo in quale parte del sito, ma mi pare che in quel
caso prevedano una cifratura simmetrica, in cui il segreto/chiave
dovrebbe essere concordato fra le due parti mediante un side channel
(ovvero, si mettono d'accordo prima per telefono). Il che non è in
contrasto con l'uso, come strumento di cifratura e codifica, di
openpgpjs. La mia è comunque sempre una speculazione sulla base delle
info sul sito, non l'ho provato.
--
Claudio Telmon
http://www.telmon.org
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Ciao,

interessante articolo che magari avete già letto (perchè è parecchio
datato...) riguardo
a come altri servizi di mail sicure (lavabit in particolare) funzionavano

http://highscalability.com/blog/2013/8/13/in-memoriam-lavabit-architecture-creating-a-scalable-email-s.html
http://possibility.com/LavabitArchitecture.html

"Do you use any particularly cool technologies or algorithms?

The way we encrypt messages before storing them is relatively unique.
We only know of one commercial service, and one commercial product
that will secure user data using asymmetric encryption before writing
it to disk. Basically we generate public and private keys for the user
and then encrypt the private key using a derivative of the plain text
password. We then encrypt user messages using their public key before
writing them to disk. (Alas, right now this is only available to paid
users.)

We also think the way our system is architected, with an emphasis on
being used in a cluster is rather unique. We would like to someday
release our code as free software. We haven’t yet because a) we don’t
want anyone else building a competing system using our code, b) while
we’ve moved more settings and logic into a configuration file over the
last couple of years, there is still a lot of logic hard coded, and c)
we’ve created the code specifically for Cent OS, and don’t have the
resources to test and support it on other operating systems right now.
We’ve spent some time looking for a company to sponsor open sourcing
the code, but haven’t found one yet."

Buona giornata
--
Matteo Filippetto
http://www.op83.eu
@matteo_1983
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Massimo F. Penco
2014-06-30 10:39:02 UTC
Permalink
Intervengo come parte in causa , nessuno ha pensato all'smime da noi Ú gratuito qui: https://www.globaltrust.it/pagina.asp.
Saluti

Massimo F. Penco
GTI Group, VP Emea
The road to success is always under construction.
www.mfpenco.com Member of www.antiphishing.org

A division of GTI Group Corporation
Italy Contacts Phone +39-0746-685365 Fax +39-0746- 685368

Direct +39-348-2455976 ***@globaltrust.it
www.globaltrust.it http://www.globaltrust.it/gtnetwork/
Sponsor of www.cittadininternet.org www.cittadininternet.it
Prima di stampare questa mail, pensa all'ambiente ** Think about the environment before printing
E-MAIL FIRMATA DIGITALMENTE: Questa e-mail, se firmata digitalmente, ha valore legale ai sensi della normativa vigente, maggiori info.
DISCLAIMER
This message and any information contained within it, including but not limited to subject matter, addressees and their e-mail addresses and attachments hereto are intended only for the personal and confidential use of the designated recipients named herein. Internet communications may not be secure and may be intercepted,re-directed or spoofed and therefore GlobalTrust does not accept legal responsibility for the contents of this message unless independently verified in writing or digitally certified. Any views or options presented are solely those of the author and do not necessarily represent those of GlobalTrust unless otherwise specifically stated. You are hereby notified that if you have received this message in error any review, dissemination, distribution or copying of this message is unlawful and strictly prohibited, and you should, with normal business courtesy, immediately notify the sender of the incident and then destroy this message by deletion and removal from your Deleted Items folder. Any opinions, explicit or implied, are solely those of the author and do not necessarily represent those of GlobalTrust group of companies.


-----Original Message-----
From: matteo filippetto [mailto:***@gmail.com]
Sent: Monday, June 30, 2014 11:52 AM
To: ***@sikurezza.org
Subject: Re: [ml] servizio email "sicuro"
Post by Claudio Telmon
Post by danimoth
Mi fa pensare che, per chi non ha PGP, venga usato un segreto che poi
verrà memorizzato sul server, e passato al computer client usando SSL.
L'approccio rende inusabile il tutto (non Ú più end-to-end, occorre
fidarsi del loro server). E' corretto?
Penso di no. Non ricordo in quale parte del sito, ma mi pare che in
quel caso prevedano una cifratura simmetrica, in cui il segreto/chiave
dovrebbe essere concordato fra le due parti mediante un side channel
(ovvero, si mettono d'accordo prima per telefono). Il che non Ú in
contrasto con l'uso, come strumento di cifratura e codifica, di
openpgpjs. La mia Ú comunque sempre una speculazione sulla base delle
info sul sito, non l'ho provato.
--
Claudio Telmon
http://www.telmon.org
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Ciao,

interessante articolo che magari avete già letto (perchÚ Ú parecchio
datato...) riguardo
a come altri servizi di mail sicure (lavabit in particolare) funzionavano

http://highscalability.com/blog/2013/8/13/in-memoriam-lavabit-architecture-creating-a-scalable-email-s.html
http://possibility.com/LavabitArchitecture.html

"Do you use any particularly cool technologies or algorithms?

The way we encrypt messages before storing them is relatively unique.
We only know of one commercial service, and one commercial product that will secure user data using asymmetric encryption before writing it to disk. Basically we generate public and private keys for the user and then encrypt the private key using a derivative of the plain text password. We then encrypt user messages using their public key before writing them to disk. (Alas, right now this is only available to paid
users.)

We also think the way our system is architected, with an emphasis on being used in a cluster is rather unique. We would like to someday release our code as free software. We haven’t yet because a) we don’t want anyone else building a competing system using our code, b) while we’ve moved more settings and logic into a configuration file over the last couple of years, there is still a lot of logic hard coded, and c) we’ve created the code specifically for Cent OS, and don’t have the resources to test and support it on other operating systems right now.
We’ve spent some time looking for a company to sponsor open sourcing the code, but haven’t found one yet."

Buona giornata





--
Matteo Filippetto
http://www.op83.eu
@matteo_1983
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Igor Falcomata'
2014-06-30 16:43:36 UTC
Permalink
Intervengo come parte in causa , nessuno ha pensato all'smime da noi è
gratuito qui: https://www.globaltrust.it/pagina.asp.
Credo che il link sia piu' corretto cosi':
https://www.globaltrust.it/page.asp?id=30

e come recita la pagina stessa "I certificati S/MIME rilasciati dalla
GlobalTrust sono gratuiti solo se vengono utilizzati per uso personale"

Per "par condicio" segnalo un'altra CA commerciale che rilascia
certificati S/MIME gratuiti (al solito leggere clausole & co):
http://www.startssl.com/

bye,
K. (list admin)
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Stefano Zanero
2014-06-30 19:03:35 UTC
Permalink
Post by Massimo F. Penco
Intervengo come parte in causa , nessuno ha pensato all'smime da noi
è gratuito qui: https://www.globaltrust.it/pagina.asp.
Nessuno ha pensato a S/MIME perché non risponde alla domanda originaria
del thread (ovvero ai SERVIZI di posta elettronica e come garantirne la
sicurezza end-to-end).

Pertanto, nel migliore dei casi, la risposta indica mancata comprensione
della domanda. Nel peggiore, si tratta di un modo di lanciare in una
lista tecnica un link ad un'offerta commerciale.

In entrambi i casi, mi permetto di suggerire di far intervenire su
questa lista i propri tecnici, laddove disponibili, e non i commerciali.
--
Cordiali saluti,
Stefano Zanero

Politecnico di Milano - Dip. Elettronica, Informazione e Bioingegneria
Via Ponzio, 34/5 I-20133 Milano - ITALY
Tel. +39 02 2399-4017
Fax. +39 02 2399-3411
E-mail: ***@polimi.it
Web: http://home.dei.polimi.it/zanero/
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Emanuele Pucciarelli
2014-06-30 20:23:00 UTC
Permalink
Post by Massimo F. Penco
Intervengo come parte in causa , nessuno ha pensato all'smime da noi Ú
gratuito qui: https://www.globaltrust.it/pagina.asp.
Per restare nel tema di questa lista: avete rivisto la vostra
infrastruttura dal 2011? (La memoria mi ha riportato a
http://www.theregister.co.uk/2011/03/28/comodo_gate_hacker_breaks_cover/ )

Saluti,

Emanuele Pucciarelli
Marco Ermini
2014-07-02 13:12:02 UTC
Permalink
Post by Emanuele Pucciarelli
Per restare nel tema di questa lista: avete rivisto la vostra
infrastruttura dal 2011? (La memoria mi ha riportato a
http://www.theregister.co.uk/2011/03/28/comodo_gate_hacker_breaks_cover/ )
LOL.

A me Ú successo che un tizio di Comodo ha chiamato un CxO a caso dicendogli
che doveva "rinnovare il certificato in scadenza". La persona in questione
non sapeva di cosa si trattasse ed ha passato la cosa al CIO, intuendo
(perché tanto chiaro non era) giustamente che fosse "una cosa IT".

Il CIO ha chiamato. Il sales di Comodo ci ha proposto di rinnovare un
certificato che secondo lui "era in scadenza" e che noi avremmo ottenuto da
"un loro rivenditore" e che quindi loro potevano darci più economicamente...

Peccato che
- il certificato scadesse tra oltre sei mesi
- era un certificato REVOCATO perché il dominio non era più in uso, dato
che la piattaforma era stata migrata su un nuovo sistema
- il "rivenditore" sarebbe GeoTrust (uno dei top provider, per capirci
quello che usa anche Google)

In pratica, 'sta gente fa il mass-scanning di certificati in
quasi-scadenza, il loro algoritmo Ú tanto bacato che nemmeno controllano se
Ú stato revocato, e poi chiamano executive a caso (ha chiamato l'ethical
officer, per capirci) per rubare i contratti a fornitori seri.

Scusate l'off topic estivo, era solo per farvi ridere 5 minuti...


Cordiali saluti
--
Marco Ermini
***@human # mount -t life -o ro /dev/dna /genetic/research
http://www.linkedin.com/in/marcoermini
"Jesus saves... but Buddha makes incremental back-ups!"
Emanuele Balla
2014-07-02 14:36:16 UTC
Permalink
Post by Marco Ermini
In pratica, 'sta gente fa il mass-scanning di certificati in
quasi-scadenza, il loro algoritmo è tanto bacato che nemmeno controllano
se è stato revocato,
In pratica, come due terzi delle implementazioni TLS lì fuori ^_^
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Andrea Zwirner
2014-07-02 15:21:59 UTC
Permalink
Eheh... Beh, chredo proprio che questa sia una di quelle storie che da
oggi e per secoli verranno tramandateoralmente ai posteri in quel bel
clima che va a crearsi sul finire delle serate nerd di tutta Italia.

Per andare oltreconfine, varrebbe quasi la pena di tradurla in inglese e
farci un bel post su tutti i principali social. :-)

Saluti, mi scuso a mia volta per l'ot.

Andrea Zwirner
Post by Emanuele Pucciarelli
Per restare nel tema di questa lista: avete rivisto la vostra
infrastruttura dal 2011? (La memoria mi ha riportato a
http://www.theregister.co.uk/2011/03/28/comodo_gate_hacker_breaks_cover/ )
LOL.
A me Ú successo che un tizio di Comodo ha chiamato un CxO a caso
dicendogli che doveva "rinnovare il certificato in scadenza". La
persona in questione non sapeva di cosa si trattasse ed ha passato la
cosa al CIO, intuendo (perché tanto chiaro non era) giustamente che
fosse "una cosa IT".
Il CIO ha chiamato. Il sales di Comodo ci ha proposto di rinnovare un
certificato che secondo lui "era in scadenza" e che noi avremmo
ottenuto da "un loro rivenditore" e che quindi loro potevano darci più
economicamente...
Peccato che
- il certificato scadesse tra oltre sei mesi
- era un certificato REVOCATO perché il dominio non era più in uso,
dato che la piattaforma era stata migrata su un nuovo sistema
- il "rivenditore" sarebbe GeoTrust (uno dei top provider, per capirci
quello che usa anche Google)
In pratica, 'sta gente fa il mass-scanning di certificati in
quasi-scadenza, il loro algoritmo Ú tanto bacato che nemmeno
controllano se Ú stato revocato, e poi chiamano executive a caso (ha
chiamato l'ethical officer, per capirci) per rubare i contratti a
fornitori seri.
Scusate l'off topic estivo, era solo per farvi ridere 5 minuti...
Cordiali saluti
--
Marco Ermini
http://www.linkedin.com/in/marcoermini
"Jesus saves... but Buddha makes incremental back-ups!"
matteo filippetto
2014-05-26 10:14:41 UTC
Permalink
Post by danimoth
Post by matteo filippetto
Per "sicuro" intendo che
- le mail non siano in chiaro
Forse sono io che non capisco, in tal caso ti chiedo scusa in anticipo,
però Ú davvero un non-sense quello che hai scritto. O se il senso Ú
quello che tra poco andrò a scrivere, Ú una stupidata :-) (Disclaimer [1])
Allora, la situazione per me Ú a strati. C'Ú chi pensa al protocollo
SMTP (diversi nodi in giro per la rete) e c'Ú chi pensa allo storage
delle mail. Per gradi: se vuoi che le mail non siano in chiaro, lungo
tutto il percorso, l'unica soluzione possibile Ú crittarle end-to-end.
Un corollario Ú che se sono tutte crittate end-to-end, ti interessa poco
chi ti sta servendo il servizio SMTP.
nessuna irritazione! anzi, la discussione si fa interessante!

si, l'idea Ú un servizio che sia "resistente" ad una rete di cui non ti fidi...
esempio sono da un cliente...o su un internet-point...internet-caffÚ
o simili...

ciao!
--
Matteo Filippetto
http://www.op83.eu
@matteo_1983
Cosimo Streppone
2014-05-27 07:21:51 UTC
Permalink
Post by matteo filippetto
Per "sicuro" intendo che
Il miglior servizio di posta che conosco, anche da
questo punto di vista, Ú fastmail.

Lo utilizzo (pagando, non ci sono account free, solo un trial
di 60 giorni) e ho lavorato con loro per circa due anni.

Allo stato attuale non criptano i singoli messaggi per
diversi motivi. So che stavano studiando come fare.
--
Cosimo
Cristiano Deana
2014-05-22 14:26:01 UTC
Permalink
Post by matteo filippetto
alternative?
Non so cosa tu intenda per sicuro, di sicuro a questo mondo non c'Ú
niente.. io comunque utilizzo da anni i servizi di autistici/inventati,
A/I però salva le tue mail in chiaro (IIRC). Probabilmente per
"sicuro" intende qualcosa che cripti le mail, tip lavabit (RIP).
--
Cris, member of G.U.F.I
Italian FreeBSD User Group
http://www.gufi.org/
samba
2014-05-23 13:58:33 UTC
Permalink
Post by Cristiano Deana
A/I però salva le tue mail in chiaro (IIRC). Probabilmente per
"sicuro" intende qualcosa che cripti le mail, tip lavabit (RIP).
http://www.autistici.org lascia che le mail siano in chiaro, così che
ognuno possa farci quello che vuole.
Quindi anche usarsi pgp sul client che piu' preferisce.

Le alternative di webmail sicure con openpgp.js ci sono, ma io ancora
non mi fido.
PerchÚ delegare la sicurezza a qualcun'altro non mi Ú mai piaciuto.


anyway oltre a consigliarti autistici e qualche manuale da leggere non
saprei che altro dirti.
http://www.autistici.org/it/who/policy.html#mail


e poi se proprio non ti piace e vuoi il pacchetto pronto allora boh:
https://en.wikipedia.org/wiki/Secure_E-mail#See_also

bye
--
ɐqɯ@s
Marco Ermini
2014-06-13 14:19:18 UTC
Permalink
Scusate se non ho nulla da aggiungere alla richiesta originale e chiedo
venia se Ú off-topic.

Mi dispiace anche rispondere a Cristiano (Ú solo per opportunità non sto
rispondendo soltanto a lui), ma mi sembra incredibile che ci siano dubbi
sulla definizione di "sicuro" su una mailing list di sicurezza!

Non vorrei sfoggiare frasi fatte da certificazioni CISSP, GIAC o CISM, ma
in genere per "sicuro" si intende che rispetti la triade CIA -
Confidentiality, Integrity and Availability.

L'email Ú un esempio perfetto da usare, perché esistono tecnologie per fare
tutto questo: criptarle (confidentiality) non basta, bisogna anche essere
sicuri che non siano state intercettate/modificate e che provengano
veramente da chi dicono di provenire (integrity) e che esista una conferma
di trasmissione/ricezione (availability).

Purtroppo non esistono *standard* per implementare CIA (e quindi rendere le
email sicure) che siano ampiamente utilizzati, e soprattutto l'integrity
richiederebbe un ente terzo di certificazione come una CA (o lo scambio
personale delle chiavi pubbliche come si faceva un tempo con GPG/PGP...).

Senza offesa né polemica - solo che tante volte sento disprezzare alcune
certificazioni, ma se non altro potrebbero essere utili per stabilire una
base minima di discussione...


Cordiali saluti a tutti.
Post by Cristiano Deana
Post by matteo filippetto
alternative?
Non so cosa tu intenda per sicuro, di sicuro a questo mondo non c'Ú
niente.. io comunque utilizzo da anni i servizi di autistici/inventati,
A/I però salva le tue mail in chiaro (IIRC). Probabilmente per
"sicuro" intende qualcosa che cripti le mail, tip lavabit (RIP).
--
Cris, member of G.U.F.I
Italian FreeBSD User Group
http://www.gufi.org/
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
--
Marco Ermini
***@human # mount -t life -o ro /dev/dna /genetic/research
http://www.linkedin.com/in/marcoermini
"Jesus saves... but Buddha makes incremental back-ups!"
Emanuele Balla
2014-06-13 20:32:53 UTC
Permalink
Post by Marco Ermini
Purtroppo non esistono *standard* per implementare CIA (e quindi rendere
le email sicure) che siano ampiamente utilizzati, e soprattutto
l'integrity richiederebbe un ente terzo di certificazione come una CA (o
lo scambio personale delle chiavi pubbliche come si faceva un tempo con
GPG/PGP...).
Tecnicamente c'è pure DANE+S/MIME[1], ma non si può esattamente dire che
sia di largo utilizzo, ancorchè promettente...


[1] http://tools.ietf.org/html/draft-ietf-dane-smime-06
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
l***@regione.vda.it
2014-07-02 12:25:57 UTC
Permalink
Return Receipt

Your RE: [ml] servizio email "sicuro"
document:

was ***@regione.vda.it
received
by:

at: 02/07/2014 14.25.58
Continue reading on narkive:
Loading...