unknown,

Кажется, что намёк понимаю.
Но, если можно, поподробнее...

С WebMoney не работал. Со стороны вижу, что WebMoney довольно непростая в использовании система. Больше склонен к системе Яндекс-деньги.

Вий:
Еще один сервис защищенной переписки http://www.s-mail.com/

Вий:
Единственное, от чего защищает такой сервис при переписке со случайным корреспондентом – защита канала от моей рабочей станции до почтового сервера.

Вий:
На сервере используется технология PGP, по моему уж лучше использовать ее у себя на машине + на машине корреспондента (если удасться в этом убедить корреспондента).

Более того, сервис работает только с Internet Explorer

(анализ трафика по-русски?).

Я, ксати, хочу запустить собственный сервис для таких, как вы (и я, и многие другие), так что ко всяким предложениям внимательно прислушиваюсь.

Вообще-то я большой поклонник распределенных сисем, но там всегда встает ребром вопрос об экономической состоятельности (каким образом мотивировать участников для выполнения тех функций, которуе требует система).

Мне кажется, что к универсальному распределенному хранилищу информации уже не сложно сделать почтовый интерфейс. Но удовлетворительного решения распределенного и безопасного хранения информации, AFAIK, пока нет. Несколько таких проэктов уже провалились (mojo nation и т. д.).

Еще меня заинтересовали решения с разделением полномочий. Например интересная модель, где в одном хранилище хранятся сами зашифрованные письма (потенциально без указания адресата), а в другом — зашифрованый индекс какое письмо кому адресовано.
В принцыпе, и то и другое хранилище может быть распределенным, но даже централизованная инфраструктура с двумя половинами в разных странах — достаточно крепкий орешек.

unknown:

Вообще-то я большой поклонник распределенных сисем, но там всегда встает ребром вопрос об экономической состоятельности (каким образом мотивировать участников для выполнения тех функций, которуе требует система).

Примерно также как и в сетях римэйлеров, tor, freedom и т.д.

unknown:

Правда я сразу подумал, что Ваш проект будет скорее коммерческим, чем чисто академическим. И оплачивать ваш сервис в идеале пользователи должны через вашу систему E-point-cash ;-)
Что ж, это тоже интересное направление.

Мне кажется, что к универсальному распределенному хранилищу информации уже не сложно сделать почтовый интерфейс. Но удовлетворительного решения распределенного и безопасного хранения информации, AFAIK, пока нет. Несколько таких проэктов уже провалились (mojo nation и т. д.).

Что-то существует в сети freedom, но я в этом не разбирался.

Еще меня заинтересовали решения с разделением полномочий. Например интересная модель, где в одном хранилище хранятся сами зашифрованные письма (потенциально без указания адресата), а в другом — зашифрованый индекс какое письмо кому адресовано.
В принцыпе, и то и другое хранилище может быть распределенным, но даже централизованная инфраструктура с двумя половинами в разных странах — достаточно крепкий орешек.

Да, идея хорошая и есть почти готовые протоколы для баз данных.
Но как предоставить пользователю гарантии, что эта система не просто распределена территориально и топологически, но и на уровне владельцев?
Так чтобы бы было нереально этих владельцев двух (или более) хранилищ вычислить, собрать вместе или заставить сотрудничать против пользователя?

А если владелец один, то он может создать полную иллюзию независимого функционирования частей сервиса, а на самом деле иметь доступ к двум хранилищам и сопоставлять индексы.

Или пользователи системы должны будут иметь специальное ПО, а адрес в системе будет связан с открытым ключом. Но тогда это будет неуниверсальный сервис и больше как раз подходящий для распределенных систем.

unknown:

Ну начнем тогда с простого. Почему бы параллельно с почтовым сервером не запустить на нем же сервер ключей PGP?

Интетрфейс для шифрования: http://pgp.epointsystem.org/tool

unknown:
Да, мы обсуждали как-то эту штуку. Вокруг меня нету явы...

Яву не устанавливаете из принципа? Вообще-то там модель безопасности достаточно продуманная.

Что они там – почту копят?

SATtva:
Но в процитированном фрагменте не упоминается, что они не будут делать копии данных...

Мощные базы с копиями сообщений – если письма были удалены в декабре

Мыколка:
На самом деле Pochta.ru – это отличный, мощный, современный почтовый сервис.
И я благодарен РБК за то, что они предоставляют мне почтовый ящик, совершенно не требуя с меня денег.

Вопрос такой: где лучше завести электронный почтовый ящик?

Уверен, что это довольно важно, ведь надёжный, защищённый ящик – одна из обязательных деталей Вашей целостной системы защиты информации.

Как это может быть?

Вообще на мой взгляд Яндекс на такой уж откровенный развод вряд ли должен пойти, не та компания.

Тут не развод, а просто некоторая некомпетентность разработчиков. Уязвимость SATtva описал.

Поскольку это ресурс с множеством разных услуг вряд ли стоило-бы делать его главную страницу защищенной с помощью SSL.

Ну так сделали бы специальную страницу с формой логина, защищённую SSL, делов-то. Суть в том, что трафик должен быть защищён и аутентифицирован, начиная с самой веб-страницы (т.е. по направлению сервер->клиент), а не с action-url веб-формы (по направлению клиент->сервер). И, судя по представленной https-ссылке, такая страница действительно есть.

Но учитывая, что большинство пользователей этому вообще не придают никакого значения думаю все в норме.

Тогда зачем вообще было устраивать эту показуху? Для маркетинговой галочки? Выходит, так.

сделали бы специальную страницу с формой логина, защищённую SSL, делов-то.

Тогда зачем вообще было устраивать эту показуху? Для маркетинговой галочки? Выходит, так.

+1 to gmail.com
вообще для "чувствительных" вещей нужно завести отдельный почтовый ящик и поставить пересылку на основной ящик..
также лучше к gmail.com прикрутить свой домен, это гарантирует не возможность "угона" ящика, к тому же от них всегда можно будет "съехать"...

пока акк не угонят владельцы какого нить вызодного узла тор

Добрый вечер.
Использую бесплатную почту gypost.com, каких либо проблем с почтой не замечал. А интерфейс удобен и не похож на остальные почтовые сервисы. Все зависит от Ваших потребностей. Если Вас интересует в первую очередь безопасность, то в таком случае рекомендую вообще отключить сеть от компьютера, потому как никто Вам не даст гарантий невозможности взлома. А если Вас интересует как меня приемлемая надежность, и удобство использования, тогда выбирайте из того что имеется в сети. Можна любой почтовый сервис мейл.ру например, но меня лично напрягает их старый подход к организации почты, по этому пользуюсь gypost.com.

Андреус (01/09/2011 22:43)

Где лучше завести почтовый ящик

Мне ведь мыло надо только для реги, только для реги, никогда не мылился и мылиться не собираюсь. Но вот чтобы ссылку подтверждения регистрации скопипастить придется войти в ящик с включенным JS, а это уже не айс, совсем не айс!

Зарегил наконец-таки нонче новую почту (один из нужных мне сайтов ненавязчиво-так ну никак не принимал никакие адреса акромя gmail ;) оно и понятно – деанон через телефон!, ну да Господь им судия, где они учились мы там преподавали). Для этого пришлось купить "в рядах" новую симку за 150 рэ (и кстати совсем беспроблемно: а скока стоит – "стольник", давай паспорт, а с собой нету, ну тады "полташ" сверху за штраф т.к. будем оформлять на чужой. Ой Раша, и чё-ж я в тибе такой влюбленный!). С ентой же симки и зарегился потому как через Tor гуголь уже не регит. Таким образом айпишник засветился только от сотового оператора. Входить же в ящик гуголь позволяет и через Tor при отключенном JS. Так что пока работаем, брат! Стоимость реги незначительно возросла от 0 до 150 рэ. Деньга подъемная.

Культовые примеры:

ну тады "полташ" сверху за штраф т.к. будем оформлять на чужой

Таким образом айпишник засветился только от сотового оператора.

Вот чуствую не зря мне человек ответил, хочет что-то подсказать, помочь как-то, а что? – никак не пойму!

С ентой же симки и зарегился потому как через Tor гуголь уже не регит.

А IMEI телефона?

Чел, не связывает гугл и провайдера в зог-узел.

Ещё есть mailforspam.com

предыдущий владелец симки

А IMEI телефона?

Ты читать умеешь? "будем оформлять" – новая!

Ещё есть mailforspam.com

Ты читать умеешь? "акромя gmail"

Хорошо – телефон тоже выделенка, 4500 рэ (из-за наличия EDGE).
Стоимость реги незначительно возросла от 0 до 150 рэ. Деньга подъемная.

Таким образом айпишник засветился только от сотового оператора

А если предыдущий владелец симки совершил 10 убийств, а вас-таки найдут, повесят пожизненное на вас, да.

А IMEI телефона?

у нас что наличие симки является единственым и безапелиционным доказательством совершения преступления?

Кстати, при чём тут симки?

Но вы это в суде будете доказывать, а суд у нас знаете какой

Деньга подъемная.
4500р + 150р = 4650р. Кто-то тут приврал?

как пользование сотовым телефоном можно привязать к совершенному преступлению

возможно я должен испытывать угрызения совести от того, что даже не заметил как потратил на свои забавы сумму, которая Вас шокировала

а если следаки захотят вас упаковать, так они найдут покрепче доказательства

давайте без обид, если только постинг не является самоцелью постинга и вы действительно заинтересованы в нахождении ответа на вопрос.

Но не стало даже в штатах.

Через свой блог и несколько трекеров ... он распространяет продукт своего бескорыстного труда активаторы ... цитирую отзыв "любую программу "второго эшелона" можно всегда заменить аналогом, а программы из ваших работ не заменить ничем.

А программы первого эшелона это ведь уникальные, незаменимые, топовые продукты

И что-же вы думаете чел прячется за базарными анонимными симками? Полноте батенька! На первой странице блога висит оферта об "установке программного обеспечения частным лицам и небольшим организациям" с указанием цены и контактного телефона!

Исходить надо не из того, что «если захотят, сделают всё», а из минимизации рисков

Объяснение очень простое – если преступник купит пистолет с рук и он окажется «палёным», то только имея на руках такой пистолет, он подвергается риску получить срок «за того парня». Поэтому, при любых обстоятельствах, любой американский преступник, всегда найдет способ приобрести оружие из вполне легальных источников. Это единственная гарантия того, что пистолет еще не разу не использовался в мокром деле.

Более того, как только преступник использует такой, непалёный, пистолет, по назначению, он тут же отправляет его на корм рыбам, что на сленге итальянских мафиози означает: «утопить в заливе, предварительно залив ноги бетоном».

Вобщем, примерно так – берешь чужие водительские права, покупаешь пушку, грабишь банк, убиваешь клерка, пушку в колодец, пропиваешь бабки, идешь покупать новую пушку.

1. пользование почтовым клиентом (TLS/SSL)
2. https
3. местоположение не РФ (по возможности)

А чем плох этот почтовый ящик: www.mail.com

1. пользование почтовым клиентом (TLS/SSL)

Не понимаю, существуют что-ли сегодня почтовые сервисы, не предлагающие поддержку этого, даже бесплатно?

Не понимаю, существуют что-ли сегодня почтовые сервисы, не предлагающие поддержку этого, даже бесплатно?

Mail.ru

Erazon, не совсем верно с главной mail.ru тоже аутентификация через https "https://auth.mail.ru/cgi-bin/auth"

У меня с "wwwhttps://auth.mail.ru/cgi-bin/auth" редирект на wwwhttp://e.mail.ru/cgi-bin/login без всяких "https"

У меня с https://........ редирект на http://....... без всяких "https"

Обратите внимание на эту почту:

wwwhttps://www.mail.com

— Гость (14/05/2012 00:11)
Обратите внимание на эту почту:
wwwhttps://www.mail.com
wwwhttps://www.mail.com/ru/
Поддерживает несколько языков, Русский есть.

— Гость (24/05/2012 12:18) <#>
смешно, НО mail.ru сделали регистрацию через мобильник ))) во как..

Не вводите людей в заблуждение

Не вводите людей в заблуждение

своими глазами видел, что пропала возможность выбора

Admuncher

есть ли желающие скомпилировать сие чудо или хотя бы обьяснить как это сделать под виндой?

а какие раньше обсуждения были – супер

вероятность того что им потребуется/захочется прочитать

вероятность того что им потребуется/захочется прочитать
Есть судебные ордеры, а также возможное негласное сотрудничество с АНБ/ЦРУ и другими подобными структурами, афиллированными в САСШ.

С точки зрения надежности, безопасности хранения, и защишености при передаче – несомненно Gmail не имеет конкурентов.

Вопросы определения географического положения, информации о системе и прочий, шпионаж посредством браузера: TOR

сначала нужно сходить и купить левую симку

кафе с халявным WiFi

Зачем же давать вредные советы?

По айпи определить местанахождение кафе

http://anobox.ru/

не нужно

А жирно зачем?

А жирно зачем?

А жирно зачем?

где есть более-менее безопасные островки для создания почтового ящика?

а уж там наверняка против таких умников стоят камеры и всё записывают

Может mail.ru?

может где-то в районе mail.arctica, тогда точно в духе последних новостей.

... Поэтому не предоставляйте никакой реальной контактной информации, т.е. ваших телефонных номеров или других адресов электронной почты.
Если «Gmail» запросит личную информацию, пожалуйста, начните регистрацию заново и постарайтесь не предоставлять такую информацию. После того как вы зарегистрируете новый почтовый ящик, пошлите с него электронное сообщение по адресу unbacggdA@gmail.com, а затем ровно через неделю проверьте почтовый ящик на предмет получения нашего ответа.

Лучше бы ссылки на место реристрации ящика

At registration don't provide any personal data which could identify you and again created mailbox. Therefore don't provide any real contact information, i.e. your telephone numbers or other e-mail addresses

пользовательском соглашении, которое всегда составлено так, что сервис может делать что хочет, а вы, пользуясь его услугами, это принимаете.

Где-то 3 Мб, где-то 1 Гб, что все равно не много при интенсивном использовании ящика, если много адресатов или вложений

много адресатов или вложений, как, например, в нашем дружном педогогическом коммьюнити.

Ну а что посоветуете вы в плане долгой жизни email?

что посоветуете вы в плане долгой жизни email?

cоветуют завести собственный домен и открыть на нем свой собственный email, но и там могут быть свои "подводные камни".

что посоветуете вы в плане долгой жизни email?

хотя в моей переписке нет ничего особенного

Дело даже не в анонимности почты, это не так важно.
Жудко неприятно когда личная переписка становится доступной посторонним

PGP-шифрование писем на рабочем электронном адресе кто мешает использовать?

1. Установить gpg4win^[link23]
2. Сгенерировать собственную пару PGP-ключей.
3. Пункты 1-2 провести на ПК своих абонентов.
4. Обменяться публичными ключами с абонентами и сверить их отпечатки по доверенному каналу.
5. Перед отправкой файла абоненту вы его шифруете ключом получателя и отправляете любым удобным способом (в том числе, по почте). Можно настроить и автоматическое шифрование ключами абонентов в мэйлер-программах типа Thunderbird.

Обменяться публичными ключами

можно и через сервера открытых ключей

PGP-ключ, в котором будут прописаны ваши текущие мэйлы, домены, хостинги, Jabber-контакты и др. Ключ должен быть размещён на серверах открытых ключей. Пусть адресаты его обновляют при необходимости с вами связаться. Это самая надёжная электронная визитка, контроль над которой практически только в ваших руках.

попробуйте убедить родных, близких и коллег в алфавитном порядке

среднестатистический юзер выключается при фразе "ассиметричные ключи"

Их проще на jabber+PGP пересаживать. Их руками (или сам на их ПК, если можешь) настраиваешь всё так, что при запуске джаббера автоматически подцепляется ключ и всё шифровалось. Они при этом могут понимать происходящее на уровне «всё как-то шифровано и работает», но даже таких слов, как PGP, могут не знать.

или (для win) готовое решение: портабельный pidgin + otr.
или (для почты и win) потрабельный thunderbird + enigmail + pgp — доступно на portableapps.com.

только всё это не работает, когда 99% этим не пользуются. нужно чтобы было хотя бы 10% активных распространителей вируса. чтобы была готовая игрушка для mac. чтобы эта штука людей не пугала (пример: вы простой юзер, для которого проблема настроить mail client, вы что-то услышали про pgp и открыли страничку в википедии: https://en.wikipedia.org/wiki/Pretty_Good_Privacy. это последнее, что вы о pgp узнали, потому что pgp, как оказалось, это что-то очень страшное и совершенно непонятное. обратный пример: твиттер, игрушка, которая совершенно непонятно зачем нужна, но можно попробовать несколько месяцев и этим пользуются все. самое печальное в том, что pgp ненамного сложнее и куда полезнее. что pgp можно использовать на любом гаджете и все от этого выиграют.)

(Кстати, чтобы не уходить от темы: есть что-то странное в том, что в сети нет ни одного доступного для всех аналога Horde — веб-сервиса со встроенным pgp-функционалом. Ну, hushmail.com не в счет.)

или (для win) готовое решение: портабельный pidgin + otr.

это последнее, что вы о pgp узнали, потому что pgp, как оказалось, это что-то очень страшное и совершенно непонятное.

веб-сервиса со встроенным pgp-функционалом

Верно и обратное: те широкие массы, которые, возможно, и начали бы пользовать шифрованием, не будут этого делать, потому что это слишком сложно.

ширпотреб-продукт с каким-то шифрованием — Skype

Как бы это прискорбно не звучало, но самый оптимум, по-видимому, наблюдается тогда, когда инструмент, с одной стороны, достаточно прост, чтобы его могли освоить и безопасно настроить достаточно замотивированные пользователи, и, с другой стороны, достаточно сложен, чтобы

Это как? Полностью доверить свой PGP-ключ mail-серверу? И зачем? Для этого же SSL-сертификаты и SSL-подписи есть, которые сам mail-сервер проставляет (забыл, как точно этот протокол называется, что-то типа инфраструктуры персональных сертификатов).

Автор^[link28] статей "Мне нечего скрывать" и другие ошибочные толкования приватности^[link29] и Почему "государственная безопасность" одерживает победу над приватностью^[link30], считает, что саморегуляции приватности пользователями бесперспективна^[link31] и приводит множество аргументов, по которым в массе своей они не будут заинтересованы её осваивать; а если будут, то никогда не освоят, или наделают кучу ошибок, или никогда не смогут адекватно оценивать решения. Поскольку он специалист в области права, а не технологий, то он больше верит в закон и считает, что проблему можно регулировать только законом "сверху". Что-то подобное говорил и Шнайер: большинство людей защищаются от угрозы убийства законом, а не бронежилетом.

Автор статей...

спасибо за ссылки (и вообще за ваши материалы — очень познавательно). я думаю, что это как проблема линукса в 00-е и сейчас: продукт (убунту, минт) явно лучше win, но не может сделать то, что в начале 00-х сделал mac: ребрендинг, вирусная реклама и проч. не может стать модным. или очень не хочет.

есть куча решений по доступности: встроить в thunderbird (это мозилла стоит за stopwatching.us, кстати) по умолчанию enigmail и какую-н. программу для pgp (как в портабельной версии на portableapps.com), чтобы эта штука была кроссплатформенной, чтобы пользователя отделяли от "готовой вещи" не тридцать шагов, а пять.

сейчас, кстати, очень удобный момент (bbc тут рекомендует^[link32] не пользоваться гуглом и фейсбуком :)

What can you do to protect yourself?
Several websites have published advice on how to avoid Prism's reach. Suggestions include:

To avoid using any of the named tech companies' products

потребность, короче, есть. но кончится, боюсь, всё тем, что выскочит опять какая-нибудь имитация правильной вещи, типа скайп, зато в красивой обложке. потому что разработчикам правильной вещи было как-то влом эту красивую обложку нарисовать. и приатачить вменяемый мануал.

Будущее за проектами, наподобие freedombox^[link33] и концепцией "dehierarchicalization". Только нужно максимально свободное железо, помимо софта.

продукт (убунту, минт) явно лучше win, но не может сделать то, что в начале 00-х сделал mac: ребрендинг, вирусная реклама и проч. не может стать модным. или очень не хочет.

Что-то подобное говорил и Шнайер: большинство людей защищаются от угрозы убийства законом, а не бронежилетом.

Будущее за проектами, наподобие freedombox и концепцией "dehierarchicalization". Только нужно максимально свободное железо, помимо софта.

А это по сути даже не возражение, а переизложение части позиции. Оценка рисков приватности столь контритуитивна обычному человеческому опыту, что потребность разбираться даже в простейших технологиях у человека не возникает или он может элементарно наделать непредусмотренных глупостей даже в них.

Принципиально нет смысла привязываться к политической мотивации, да ещё какой-то конкретной. Пусть гипотетические сторонники геноцида Тибета и/или присоединения Сибири к Китаю тоже пользуются этими же технологиями с другой стороны баррикад. А также те, кто ни к каким Тибетам ни в каких странах отношения не имеет. А просто хочет тайно опубликовать похождения кошки главы АНБ своей соседки, к примеру.

всего-то, поставить один аддон в thunderbird и программу.

thunderbird + enigmail + pgp

не будут этого делать, потому что это слишком сложно. На рынке был всего один ширпотреб-продукт с каким-то шифрованием — Skype

bbc тут рекомендует не пользоваться гуглом и фейсбуком

more the government spends on offensive techniques, the greater its interest in making sure that security holes in widely used software remain unrepaired.

A spokesman for the NSA agreed that the proliferation of hacking tools was a major concern but declined to comment on the agency's own role in purchasing them, citing the "sensitivity" of the topic.

The Department of Defense and U.S. intelligence agencies, especially the NSA, are spending so heavily for information on holes in commercial computer systems, and on exploits taking advantage of them, that they are turning the world of security research on its head

Some national-security officials and security executives say the U.S. strategy is perfectly logical: It's better for the U.S. government to be buying up exploits so that they don't fall into the hands of dictators or organized criminals.

But exploits can't be counted on to work once the holes they rely on are disclosed. That means contractors are constantly looking for new ones that can be swapped in to a particular program after the original vulnerability is fixed. Some security firms sell subscriptions for exploits, guaranteeing a certain number per year.

"My job was to have 25 zero-days on a USB stick, ready to go," said a former executive at a defense contractor that bought vulnerabilities from independent hackers and turned them into exploits for government use.

Zero-day exploits will work even when the targeted software is up to date

Many zero-day exploits appear to have been produced by intelligence agencies. But private companies have also sprung up that hire programmers to do the grunt work of identifying vulnerabilities and then writing exploit code. The starting rate for a zero-day is around $50,000, some buyers said, with the price depending on such factors as how widely installed the targeted software is and how long the zero-day is expected to remain exclusive.

Cerrudo said he regrets selling to a research institution in Europe he won't name that he later realized received a great deal of funding from a national government.

A Paris-based security company called Vupen sells tools based on exploits to intelligence, law-enforcement and military authorities in most of the world.

Until 2010, Vupen often notified software vendors for free when it found vulnerabilities, said chief executive Chaouki Bekrar. That has now changed. "As our research costs became higher and higher, we decided to no longer volunteer for multi-billion-dollar companies," Bekrar said. When software makers wouldn't agree to a compensation system, he said, Vupen chose to sell to governments instead. "Software vendors created this market by not decently paying researchers for their hard work."

In Bekrar's estimation, Vupen is doing good. "Exploits are used as part of lawful intercept missions and homeland security operations as legally authorized by law," he said, "to protect lives and democracies against both cyber and real world threats."

The company is one of the most visible players in the business. Vupen sent a dozen researchers to an elite April conference ... The only larger contingents were one from the conference's organizer, zero-day reseller Immunity Inc, and one from the U.S. government.

ReVuln's founders, Italian researcher Luigi Auriemma and former Research in Motion vulnerability hunter Donato Ferrante, declined to say anything about their customers. In an email interview, they said they sold some exploits exclusively and others more widely. Asked if they would be troubled if some of their programs were used in attacks that caused death or destruction, they said: "We don't sell weapons, we sell information. This question would be worth asking to vendors leaving security holes in their products."

Major players in the field include Raytheon Co, Northrop Grumman Corp and Harris Corp, all of which have acquired smaller companies that specialize in finding new vulnerabilities and writing exploits. Those companies declined to discuss their wares.

Reuters reviewed a product catalogue from one large contractor, which was made available on condition the vendor not be named. Scores of programs were listed. Among them was a means to turn any iPhone into a room-wide eavesdropping device.

There were tools for getting access to computers or phones, tools for grabbing different categories of data, and tools for smuggling the information out again. There were versions of each for Windows, Apple and Linux machines. Most of the programs cost more than $100,000, and a solid operation would need several components that work together. The vast majority of the programs rely on zero-day exploits.

Some of Endgame's activities came to light in purloined emails published by hackers acting under the banner Anonymous. In what appear to be marketing slides, the company touted zero-day subscriptions as well as lists of exactly which computers overseas belonged to specific criminal "botnets" – networks of compromised machines that can be mobilized for various purposes, including stealing financial passwords and knocking websites offline with traffic attacks.

The point was not to disinfect the botnet's computers or warn the owners. Instead, Endgame's customers in the intelligence agencies wanted to harvest data from those machines directly or maintain the ability to issue new commands to large segments of the networks, three people close to the company told Reuters.

Kleiner partner who sits on Endgame's board, said he couldn't comment on the company's classified business. But he defended the idea of captive botnets.

Принципиально нет смысла привязываться к политической мотивации

There were tools for getting access to computers or phones, tools for grabbing different categories of data, and tools for smuggling the information out again. There were versions of each for Windows, Apple and Linux machines.

Question:
Is encrypting my email any good at defeating the NSA survelielance? Id my data protected by standard encryption?
Answer:
Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it.

«Нужна ли популярность любой ценой для операционных систем с открытым исходным кодом?»

А почему Вы из enigmail выделяете pgp?

ловите другую, более оптимистичную цитату

держать private key на машине в соседней комнате, которая не подключена :)

Если параноить дальше, то в команды разработчиков Open Source могут быть внедрены агенты, как было с подозрением по поводу ФБР и OpenBSD (вроде как неподтвердившимся). Они могут или целенаправленно внедрять уязвимости, замаскированные под случайные ошибки в открытом коде, или пользоваться краткосрочной инсайдерской информацией для того, чтобы передать службам эксплойт, время жизни которого хотя бы несколько часов для осуществления атаки, которая нацелена на жертву в ждущем режиме.

Кроме того, АНБ может использовать TEMPEST и прослушку для кражи приватных ключей разработчиков программ и сборщиков дистрибутивов, чтобы немассово, но хотя бы целенаправленно подсовывать отдельным жертвам протрояненные версии.

Наконец, что будет, если ФБР попросит приватный ключ, которым подписывается программа или дистрибутив под подписку о неразглашении (кляп-ордер), якобы для поимки опасного террориста? А заодно провернуть на этом ещё парочку десятков операций против каких-либо других неугодных в обход официальных дел?

Тогда, как и в случае DA, нужен проект по независимому аудиту самих подписей (точнее, хэшей того, что ими подписано). Чтобы их можно было проверить по кругу подписей из числа доверенных лиц по этой теме (будет слишком заметно и затратно впаривание большого числа фальшивых подписей большому кругу лиц). Возможно также использование меток времени, цепочек хэшей, независимых приватных консенсусов.

Вообще, это интересная, никем пока не проработанная идея — аудит сообществом не только открытого кода, но и подписей пакетов, защищающий от принуждения к выдаче закрытых ключей.

Те, против кого был направлен Stuxnet, тоже так думали. Прямого подключения к сети у атакованных машин, насколько я понял, не было, зловред распространялся через флэшки и т.п. носители.

Если параноить дальше

Те, против кого был направлен Stuxnet, тоже так думали. Прямого подключения к сети у атакованных машин, насколько я понял, не было, зловред распространялся через флэшки и т.п. носители.

защита от серьезной атаки представляется сложной задачей :)

Кроме того, АНБ может использовать TEMPEST и прослушку для кражи приватных ключей разработчиков программ и сборщиков дистрибутивов, чтобы немассово, но хотя бы целенаправленно подсовывать отдельным жертвам протрояненные версии.

Глобальный контроль над производством микросхем. С закладками^[link41]. Вполне реальный сценарий не столь уж далёкого будущего.

Если параноить дальше, то в команды разработчиков Open Source могут быть внедрены агенты, как было с подозрением по поводу ФБР и OpenBSD (вроде как неподтвердившимся).

[moderator]Вопрос^[link46] по устойчивости Tor к TEMPEST-атакам перенесён в надлежащий раздел. И прошу воздержаться от дальнейшего развития оффтопа.[/moderator]

http://privatdemail.net/

Египетский сервер без ясного местоположения (город? точные координаты?), http://www.ipyou.ru/ выдает только следующее:
Страна: Egypt
Код: EG,EGY
Широта: 27
Долгота: 30
Браузер: Mozilla Firefox ver 5.0 unk
OS: Windows NT 6.1
IP адрес: 217.139.17.156
Имя компьютера: mail.privatdemail.net

Я бы предпочел китайский.

Я лично не против кук в почте, если не забывать удалить их после каждого сеанса И ВЫКЛЮЧИТЬ (даже на www.pgpru.com комментарии через куки). Это анонимность не нарушит. Чего нельзя сказать про скрипты.

Представьте себя на месте сисадмина, предоставляющего популярный публичный сервис, да ещё с которым может возникнуть головная боль, если придут жалобы на пользователей, рассылающих всякие непотребства. Приходиться придумывать простейшие меры фильтрации спамеров и сквоттеров на этапе регистрации, которые захотят себе заводить по миллиону аккаунтов в сутки. Такими темпами скоро на многие сервисы нельзя будет зарегистрироваться без аккаунта в соцсетях.

враг контролирует практически всё

safe-mail (https://www.safe-mail.net/) Сервер находится в Израиле. Сервис бесплатен. Данный ресурс специализируется на защите писем. Одобрен pgpru.com

В Google считают странными людей, которые верят в конфиденциальность своих сообщений, отправляемых адресатам через третьи руки.

Google дала понять, что ни о какой неприкосновенности частной жизни и речи быть не может, если человек пользуется сторонним сервисом, к которым относится в том числе почта Gmail.

Ким Дот Ком обещает новую почту.

Уверяют, что там все защищено и зашифровано, причем ключи хранятся у пользователя. Зарегился я посмотреть, но что-то ключей никаких не получил в собственное хранение и по паролю зашел с другого компа.

Между почтовыми серверами передача данных шифруется или есть возможность перехвата?

Не работает Мега корректно с тор-браузером.

Почтовый клиент отправляет массу характерных заголовков в письме. Например, имя хоста. И локальное время и массу чего ещё. Т.е., можно по крайней мере определить, что письмо отправлено клиентом такой то версии с такой-то ОС, с таким-то часовым поясом. Сплошное профилирование. И возможны утечки в обход тора при отсутствии прозрачной торификации или блокирования не-тор трафика: например, обращение к DNS; прямой выход в сеть, если при просмотре писем разрешён HTML.

При получении писем сам сайт тоже может составить профиль запросов POP/IMAP и по ним вычислить тип клиента.

В то время как через веб можно только понять, что письмо отправлено торбраузером.

Мало кто понимает, что помимо заголовков есть ещё много всяких поведенческих тонких характеристик, которые раскрывают информацию атакующему

В squid нужно? Он вроде умеет MITM и достаточно мощен

Кто поставит оценку?

This website uses Javascript to protect E-mail addresses. If you read this text, you have javascript disabled.

Хинт: фингерпринтинг шифрованного трафика. Можно фингерпринтить любой трафик, чем DPI и занимается. Разные клиенты будут иметь чуть разные профили, и этого может оказаться достаточным. Есть даже определение типа ОС по пакетам, на основе чего может приниматься решение о блокировании или пропускании трафика (это есть даже как опция в pf и iptables).

Разве в squid нет поддержки parent proxy? Почему нельзя его задействовать?

Yesterday the court unsealed the documents, so we now have a better idea of what happened. The court ordered Lavabit to turn over metadata (to, from, size, date/time information) on all of the email of an unspecified account (presumably Snowden’s). Lavabit had refused, and prosecutors responded by asking the court to order Lavabit to disclose Lavabit’s primary private key—which would give the government the ability to spy on every single Lavabit user. The court granted this request. After some gamesmanship—which got Lavabit fined for contempt of court—Lavabit shut itself down, making the private key disclosure moot.

“[The] government’s clearly entitled to the information that they’re seeking, and just because you-all have set up a system that makes that difficult, that doesn’t in any way lessen the government’s right to receive that information just as they could from any telephone company or any other e-mail source that could provide it easily,” said Hilton.

Вроде они в одном месте пишут, что у них нет возможности что-то расшифровать самим, и тут же пишется про существание главного приватного ключа. Как это совместить?

В материалах речь идёт о ключах SSL. Не знаю, как у них всё было организовано на самом деле (тут^[link63] есть общее описание), но это вполне мог быть ключ аутентификации, если использовался PFS.

Значит ли это, что за shutdown сервиса он сядет в тюрьму?

Получил штраф за неуважение к суду: по $5000 в день до исполнения требования суда. Через 2 дня сдался.

Как меня можно принудить не разглашать?

Кляп-ордером (gag order).
/Библиотека/Основы/SSD/ДанныеВПередаче/Государство/ОрдерНаПрослушивание^[link64]
/Библиотека/Основы/SSD/Контрразведка/FISA^[link65]

Вообще, люди, которые делают такие сервисы, должны были начать со смены юрисдикции для своей 5-ой точке, а не с веры в великий справедливый американский суд.

Уничтожить сайт или поставить его на тотальную прослушку за пределами США вообще-то гораздо проще. Тут для того же АНБ нет совсем никаких законодательных ограничений, которые действуют на операции в отношении граждан страны. Если перенести ситуацию на Lavabit, то не было бы даже никакого суда, сайт был бы скомпрометирован, продолжал работу, но все пользователи были бы под колпаком.

Чтобы сайт не был взломан, надо следить за безопасностью. Прямого доступа ко всем хостингам в мире у АНБ нет.

Система должна быть устойчива к изъятию сервера, сервер всё должен хранить зашифованным. Т.е. его компрометация чтобы не имела смысла. Шифрование и расшифрование должны происходить на стороне клиента.

Поидее любой может отказаться помогать органам, и это проблема органов — доказать, что отказывающий не просто отказывается, а ещё и соучастник.

В УК РФ есть статья об отказе от дачи показаний свидетелями?

Получается, те, кто собираются играть на легальном поле, должны чётко писать: мы не защищаем вашу информацию от спецслужб и выдадим им её по первому же законному их требованию.

не связанными с кляп-ордером

Сколько людей по миру сидело за политические и др. тому подобные преследования

А как же Циммерман с PGP?

При первом же требовании органов вы сольёте всю информацию о своих корреспондентах и посетителях этого сайта?

всё равно работают на штатовскую организацию и, тем самым, возможно, всё
равно подпадают под американское же законодательство.

страшные американские агенты у которых план по вашему отлову.

В вышеприведённых комментариях люди путают стиль мышления и модели поведения идейных активистов (и бизнесменов-нелегалов, кстати между ними не так много разницы) и изобретателей-разработчиков. Обычно изначально хороший активист — фиговый разработчик/исследователь/изобретатель. Обратное верно в меньшей степени, но всё-таки тоже верно.

Рвать на себе рубаху и клясться в своих непримиримых взглядах в деле борьбы проще всего. Обычно в разных делах всякие засланцы-провокаторы первыми же на этом и играют. И первыми же устраивают подлянку и всех предают с лёгкостью.

Дальше можно продолжать сугубо спекулятивные рассуждения.

Если предположить, что разработчики Tor под давлением правоохранительных органов сдадут ключи, встроят троян — ущерб будет значительный, но не такой большой, как кажется. Это будет кратковременная операция и много народа поймать не получиться. Явно или неявно, они смогут со временем и кляп ордер обойти и отомстить за уничтожение имиджа своего проекта уничтожением имиджа деятельности правоохранительных органов (как сделал Сноуден). Так что в будущем вмешаться в деятельность других проектов будет сложнее.

Даже если проект вообще закроют, а разработчиков полностью скомпрометируют и отправят на пенсию (или в нелучшие места), важнее то, сколько теоретических и практических наработок они успели сделать. Это поможет другим исследователям продвигаться дальше в этом направлении. Поэтому они могут себе позволить и налаживать дипломатические контакты с правоохранитльными органами и деньги от системы получать. А прячущиеся в левых юрисдикциях борцуны могут создавть лишь слабые поделки или пользоваться для своей деятельности чужими наработками.

К примеру, само АНБ, продвинув не очень удачные стандарты (SHA-1, SHA-2, DSA, Dual EC DRBG), внесло достаточный вклад в теоретические исследования в криптографии. С точки зрения исследователя, а не идейного борца, слегка пофиг на тех, кто спалился на кривых реализациях этих стандартов, зато сколько интересных теоретических работ опубликовано.

У всех сторон свой цинизм, который они не высказывают публично. Как у "борцов", так и "исследователей". Мне лично кажется, что сообщество "непримиримых борцов" контролировать, наводнять своими агентами и предателями, а при необходимости разваливать — гораздо проще, чем противостоять сообществу "исследователей".

Хотя, кому что ближе и понятнее.

отказали, а самому ЦБ!

с каких пор ЦБ имеет право требовать предоставление информации у сторонних организаций?

Can I send email messages to people outside like gmail.com, yahoo.com?
No. You can only send and receive email to/from other users within TorBox service and the mail servers which relays email with us.

Silent Circle и Ладар Левисон из Lavabit объявили^[link71] о начале разработки нового PGPпротокола защищённой электронной почты Dark Mail^[link72]. Технической информации пока практически никакой. В заметке на PC World говорится лишь, что протокол будет обеспечивать оконечное шифрование, скрывать все метаданные и адресную информацию (включая IP-адреса(?)), будет построен на основе XMPP и SCIMP^[link73] (собственного протокола Silent Circle для IM-сообщений), будет обладать свойством PFS. Спецификацию обещают сделать открытой.

xmail.net

почтовые провайдеры, получили кляп-ордера, запрещающие им закрываться под угрозой создания помех следствию

unseen.is Исландия,

Government lawyers argue that "just as a business cannot prevent the execution of a search warrant by locking its front gate, an electronic communications service provider cannot thwart court-ordered electronic surveillance by refusing to provide necessary information about its systems".

The first time I proposed a snatch, in 1993, the White House Counsel, Lloyd Cutler, demanded a meeting with the President to explain how it violated international law. Clinton had seemed to be siding with Cutler until Al Gore belatedly joined the meeting, having just flown overnight from South Africa. Clinton recapped the arguments on both sides for Gore: "Lloyd says this. Dick says that. Gore laughed and said, 'That's a no-brainer. Of course it's a violation of international law, that's why it's a covert action. The guy is a terrorist. Go grab his ass.'"

Если запрещено закрываться кляп-ордером, есть масса других способов осуществить саботаж: устроить пожар в серверной, фатальную поломку, ещё что-нибудь...

Законы — это для дураков. Умные люди пишут законы, а не исполняют их

Хотя если бизнес дороже, то вариант с саботажем конечно предпочтительней.

Но это нормально только для тоталитарного чекстского государства. В цивилизованной стране законы таковы, что их выполняют все – от бомжа до президента.

Хотя если бизнес дороже, то вариант с саботажем конечно предпочтительней.

Но это нормально только для тоталитарного чекстского государства. В цивилизованной стране законы таковы, что их выполняют все – от бомжа до президента.

Обычному человеку бежать некуда, это общемировые тенденции, и именно поэтому предлагается не бежать

Везде существует зло, но его масштабы зависят от того, признаётся ли оно нормой или объявляется борьба с ним.

Tokelau allows any individual to register domain names. Users and small businesses may register any number of domain names free of charge (with some restrictions).

книга "Мастер и Маргарита" в Plain Text занимает 600 килобайт

А я не понимаю, мы однака такая страна где есть mail.ru – домен первого уровня, сервис электронной почты?

Попробовал по всем странам посмотреть mail.jp, mail.uk, mail.it, mail.nl, mail.ro – нигде нет mail-ов. Что это?

Lavaboom is a secure email provider founded in January 2014. Lavaboom is the email provider of whistleblowers, activists, lawyers, journalists and regular pedophiles like you. With free, easy to use encryption, we make secure email accessible to everyone.

В Mail.Ru Group, в свою очередь, утверждали, что ЦБ требует нарушить тайну переписки без соответствующего судебного разрешения, что является требованием ст. 23 Конституции РФ.

Рекордсменом по объему «бесплатного» пространства является китайская компания Tencent: она выдает^[link102] пользователям своего облачного хранилища до десяти терабайт места при выполнении ряда несложных условий.

облачного хранилища

при выполнении ряда несложных условий

Starting 0.1.2, TorBirdy is also available in a single bundle (extension) with Tor and Tor Launcher. Because all required components are bundled in a single package, you do not need the Tor daemon or the Tor Browser Bundle. Only advanced users should be using this bundle as it is still in the alpha stage and bugs are to be expected.

Components Required

Thunderbird

To use the above package, it is recommended that you create a new profile or use this inside a VM. Creating and using profiles in Thunderbird is described on ​Thunderbird support. After that, simply install the extension corresponding to your relevant platform. You will be presented with an option to add two extensions: TorBirdy and Tor Launcher. Click on Install and then Thunderbird will restart and Tor Launcher will attempt to connect to Tor automatically and once that is done, Thunderbird will start with TorBirdy and Tor enabled.

Ofir told me that communications between users and the web service are SSL protected, and that information stored on the server is encrypted with user-specific keys. When asked if Safe-mail has received court orders issued by an Israeli court on behalf of a non-Israeli law enforcement agency, such as the FBI, Ofir replied with a short “Yes.” My followup email, asking if Safe-mail has the ability to decrypt information without a user’s key, went unanswered.

В тему моего коммента^[link108] от 22/04/2014 по поводу шифрования в Гугле. Так вот – опубликовали. Раз^[link109] и два^[link110].
Я тут вот что подумал. Ведь очевидно, что это им не нужно, даже из наиболее гуманных соображений – таргетированной рекламы. Соответственно по-любому где-то подвох. Вспомнил, как SATtva здесь где-то мне объяснял о вреде JS в криптографии. Ну замысел Гугла понятен – тот же SATtva, из под своей кошерно настроенной Gentoo, не менее кошерно в консоли шифрует текст, отправляет кому-то, а тот кто-то использует расширение от Гугла, чей код позволяет незашифрованные письма копировать себе, благо места хватает. Вот и получается – что вся переписка в открытом виде. Верно? В противном случае, действительно, для чего Гуглу еще нужно шифрование почты?

что-то же нужно делать. Вот что-то. Делайте.

Страна: United States

Можно сразу Gmail

С^[link116]огласно договорённостям ФСБ РФ имеет рабочие контакты и сотрудничество с 60-70ю странами мира (их спецслужбами), и те всегда будут способствовать раскрытию противоправной деятельности за исключением что, может быть, каких-то политических дел.

2^[link117]5 января 2003 года в квартиру Потеева в Москве на Крылатских холмах в 07:50, представившись работниками милиции, ворвались трое неизвестных в камуфляже и масках, которые избили его и сына, а также похитили 3300 долларов и 30 тысяч рублей. Найти преступников не удалось. Как считает один из источников «Росбалта», это нападение являлось одним из этапов по вербовке полковника со стороны американских спецслужб, продемонстрировавших, что он, несмотря на ответственный пост, не защищён.

такой сети неизвестно

N^[link121]SA might be willing to share advanced techniques with a proven and reliable partner, in return for that partner' willingness to do something politically risky.

our intelligence relationships are rarely disrupted by foreign political perturbations, international or domestic. First, we are helping our partners address critical intelligence shortfalls, just as they are assisting us.

Generally speaking, our Third Party partners want access to our technology, as well as our regional/global reach. In exchange for their providing unique accesses, regional analytical expertise, foreign language capabiolities and/or I&W support, we provide them with technical solutions (e.g., hardware, software) and/or access to related technology.

Кто такая эта ФСБ чтобы Китаю запросы делать? Китай подотрется ФСБ и раком поставит.

Только в тех странах где у них полный контроль, в своих колониях. Но есть десяток стран где у США нет контроля.

Обмен ведут равные при взаимном непротивлении сторон, а здесь однонаправленный поток по приказу.

Неподконтрольные это Куба

Фактически, он, к сожалению, уже много где есть. Создатели крупных порталов аутсорсят защиту от флуда, устанавливая фильтры со списками от сторонних производителей. В эти фильтры могут попадать и Tor-узлы. При этом, владелец портала может даже ответить, что он не против Tor в каких-то опциях (например для чтения или подписки), но не будет ковыряться в настройках готовых фильтров от поставщика.

Не получается зарегистрироваться на gmx.com

— В^[link127] средние века тайные организации были порой более могущественными структурами, чем целые государства. А какова их роль в современном мире?

— Конечно, раньше у орденских структур были глобальные задачи и возможности. В частности, Мальтийский орден и орден Святого Лазаря содержали медицинскую сеть планетарного порядка. Орден тамплиеров контролировал финансовую сферу: налоги, банковскую деятельность, строительство и пр. Тевтонский орден следил за функционированием управленческой и военной власти. Однако все они давно утратили эти функции и по большей части превратились в ряженых. Если вам кто-то скажет, что миром правит мировое правительство, та или иная ложа, а масону живется легче рядовых граждан, – не верьте. Я лично знаком со многими из них. У меня в мобильном телефоне записаны, например, прямые номера четырех Ротшильдов: барона, его сына и двух внуков. Все Ротшильды всегда состояли в масонских ложах. И один из Ротшильдов мне признался: это не помогает им лучше вести бизнес или получать огромные кредиты под мизерные проценты.

следует указывать в сообщении конфиг при регистрации, т.е. ваш браузер, IP, ОС, язык, и т.п.

к^[link128]омпания Google никогда не скрывала факт того, что пользовательская почта сканируется и анализируется в автоматическом режиме. Кроме того, в этом году последовали разъяснения, что информация проходит проверку при ее отправке, получении и хранении.

Ага, они ещё что-то про собак говорили^[link129]:

Back when Gmail was introduced, this was Google's defense, too, about its context-sensitive advertising. Google's computers examine each individual email and insert an advertisement nearby, related to the contents of your email. But no person at Google reads any Gmail messages; only a computer does. In the words of one Google executive: "Worrying about a computer reading your email is like worrying about your dog seeing you naked."
<...>
To wit: when you're watched by a dog, you know that what you're doing will go no further than the dog. The dog can't remember the details of what you've done. The dog can't tell anyone else. When you're watched by a computer, that's not true. You might be told that the computer isn't saving a copy of the video, but you have no assurance that that's true. You might be told that the computer won't alert a person if it perceives something of interest, but you can't know if that's true. You do know that the computer is making decisions based on what it receives, and you have no way of confirming that no human being will access that decision.

За прошедшее время собаки совершили заметный скачок в эволюции.

компания Google никогда не скрывала факт того, что пользовательская почта сканируется и анализируется в автоматическом режиме. Кроме того, в этом году последовали разъяснения, что информация проходит проверку при ее отправке, получении и хранении.

Yahoo, шифрование электронной почты

31 марта 2014 года стало известно о том, что Александр Сидякин вместе с единороссом Андрей Красовым и справедливороссом Игорем Зотовым внесли законопроект о новом ужесточении наказаний за участие в несогласованных с властями митингах, по словам Сидякина поводом для пересмотра законодательства именно сейчас стали события на Украине. Предложено штрафовать на 1 000 000 рублей граждан, более двух раз за 180 дней привлекавшихся к административной ответственности после задержаний на уличных акциях.

Ну это само собой. Я говорил как-то, что хочу почту сделать в духе z-mail.is, ну т.е. обезличенный домен, и на главной странице якобы "тарифы", а на самом деле почта будет тупо для своих.

Это да, но можно проплатить два-три сервера на три года, и зеркалить их, в случае сбоя одного. Платежи можно ведь анонимные сделать, либо с левых карт, либо та же криптовалюта.

Мне тоже. Но я как раз здесь вычитал, что GPG заголовки парсятся и такому ящику уделяется "особое" внимание. Может быть бред, но я думал о следующем: автоматизировать скриптом шифровку письма в файл letter.gpg, который потом помещается в криптоконтейнер соответствующего размера и аттачится к письму. На сколько я понял – такие аттачи отследить будет невозможно, потому, что это будет тупо набор псевдослучайных данных.
UPD:

Ну что-то в этом духе, только именно для своих. А этих "своих" у меня не так много, максимум человек тридцать будет. Если для всех делать – это нужно будет еще и за их действия моральные риски нести, что бы кто-то там педоконтент не пересылал или не призывал принять ислам в Талибане и прочее. Шучу, но тем не менее. Лучше знать, с кем имеешь дело. К тому же, если цель одна и не видишь в ней криминальной подоплеки – то так проще.

А лучше всего, если Вы сделаете свой публичный сервис и будете сами всё контролировать, но при этом у Вас будут другие пользователи, размывающие Вашу активность

Но это как правило очень специфическое общение с узким кругом лиц. 99% не используют шифрование почты, поэтому для повседневной переписки нужен свой сервер.

Предположим, что у нас свой сервер. Наши контакты не хотят шифровать письма. Но захотят ли наши контакты иметь свой сервер, проще ли им это, чем шифрование?

Думаю нужно иметь разные каналы связи с GPG-only контактами и с открытыми. Например, принять за факт, что открытая переписка прослушивается.

Есть какая-то фишка, на Github видел, ставится на сервер, настраиваешь ее – присваивая GPG ключ и публичный мэйл. И выступает в роли шлюза, можно пользователям не объяснять, что такое GPG, они пишут открытым текстом на "публичный мэйл", он уже в свою очередь шифрует и отправляет на личный мэйл.

В случае пересылки на публичный сервис

Но будет известно, что тот контакт написал такую-то инфу на адрес такой-то и с того адреса ведётся GPG переписка с человеком с таким-то адресом и что они потенциально все связаны.

Не поверишь, вспоминаю сижу как раз.. Но в прошлые разы – тщетно. Я обычно себе в избранное добавляю, а эту видимо не добавил.. Есть два варианта:
gpg-mailgate^[link139]
cryptobot-email^[link140]
Но все-равно не то.

Если решение «для своих», и нет цели заморачиваться стойкой стеганографией, то можно упаковывать GnuPG сообщения в нечто, имитирующее запароленные архивы или офисные документы. Это только компромисс в случае, если вы можете впоследствии открыто заявить, что внезапная неломаемость этих архивов и невспоминаемость паролей к ним — не ваша проблема, а про стойкую криптографию вы ничего не знаете.

Но при таких замороках с ручной обёрткой сообщений для коммуникаций почта вообще не нужна^[link141].

Нет, шифрованные пакеты из фрагмента PGP-сообщения — распознаваемы (различимы от набора случайных байтов). И не только первые несколько байт заголовка, но и далее идущие пакеты шифртекста.

Как минимум, хотя бы зашифровать бинарный pgp-файл в запароленный архив. Т.е., применить такую же методику, как и для временного уклонения трафика Tor от выслеживания и блокирования — не полноценную стеганографию, а обфускацию под другой формат протокола (в случае почты это будет другой формат файла).

Дальнейшее обсуждение стеганографии перенесено в соответствующую тему^[link142].
А обфускации — в другую^[link143].

Обе темы помещены в раздел «практическая безопасность», хотя там большая часть обоснованных рассуждений сможет дискредитировать обе модели защиты ещё на уровне теории, при этом и в области общих практических моделей использования у обоих методов есть масса недостатков.

Кстати, можно ли увязать эти два варианта, ну т.е. как-нибудь скореллировать почтовый сервис в обычных интернетах и в Tor? Потому, что объяснять далеким людям, что такое скрытые сервисы – дело бестолковое.

Держите список

Отображаться отображается, но не проходит валидность.

Safe-mail.net заработал.

mail.yandex.ru

Есть какие-нибудь сервисы для надежной отправки писем с ПОДТВЕРЖДЕНИЕМ и с возможностью установки адекватного обратного адреса

Charmant (28/06/2015 07:30)

Что получилось в результате тестирования?

Secure Email Based
in Switzerland

Secure Your Communications with ProtonMail

– Swiss Privacy
– End-to-End Encryption
– Anonymous Email
– 100% Free

Так выглядит шифрование сообщений – What is Encryption?^[link162]

При отправке на простое мыло, приходит такое сообщение:

You have received a secure message from ХХХХХ@protonmail.com
I am using ProtonMail to send and receive secure emails. Click the link below to decrypt and view my message:
View Secure Message
Message expires
2016-05-02 11:10:00 GMT
(672 hours after this message was sent.)

Нажимаем View Secure Message^[link163] и расшифровываем на сайте поставщика услуги.

Размер предоставляемого ящика – 500Мб

Еще один образец:

Tutanota
tutanota.com
https://github.com/tutao/tutanota
Языковая поддержка сайта –
en | bg | ca | cz | da | de | es | fa | fr | hr | hu | id | mk | nl | no | pl | pt | ro | ru | sl | sk | sq | sr | sr-Cyrl | sv | tr | zh

Тезис – "Свободные данные для свободных людей!"
Там же имена "борцов за свободу"
We use AES with a length of 128 bit and RSA with 2048 bit
The Tutanota servers are located in secure data centers in Germany.
Короче – ЧАВО^[link164]

Сразу после регистрации получаем такое сообщение:

"Sorry, you are currently not allowed to send or receive emails because your account was marked for approval to avoid abuse like spam emails. The Tutanota team will approve your account within 48 hours."

Соответственно как все работает, не представляется возможным проверить.
Через 48 часов, а может и раньше, увидим.

Электронная почта Bitmask

ВНИМАНИЕ: Bitmask все еще является экспериментальным. Не используйте эти бета-версии Bitmask для ситуаций, когда компрометация ваших данных может подвергнуть вас опасности.

Подробности^[link168]
Установка^[link169]

ФСБ предложила расшифровывать весь интернет-трафик россиян^[link171]

Улыбнуло это: "что в свою очередь породит риск нарушения конституционных прав граждан"
Кто этим озадачивался когда-либо не понятно? А вот инет будет как та черепаха, это да. VPNы и так соединяются со скрипом, или это только у меня(?).

А как понять надежно выявляется или нет? Ляпнул кто-то. Вычислили. Проверили. Олух. 5 лет общего. Не олух, но сочувствующий – 5 лет строгача. "Наш" объект – выезд воронка и расстрел в подвале. Так что ли?

После законов Озерова-Яровой примерно так причем ПО ЗАКОНУ!
А после реформы силовых ведомств^[link172] очищать общество от опасных элементов смогут весьма-весьма производительно! )

По данным издания, ФСО и СВР должны войти в состав ФСБ. Объединенное
ведомство якобы будет называться Министерство госбезопасности и займется
расследованием уголовных дел и процессуальным надзором за СКР и МВД. При
этом, утверждает газета, следственное управление МГБ сможет забирать
себе самые громкие дела.

Ву-аля! И в обществе останутся лишь послушные хомяки, которые будут с еще лучшей выправкой ходить покемоно-гоу строем и по команде голосовать за ЕДРО-Путлера!

Ну не. В данном случае, я обеими руками ЗА! История противостояния Щёлокова-Адропова вечна! Еще б под ведомство "Чайка и сыновья" копнуть по-полной!!
История с казино в подмосковье осталась без достойного конца )) Попкорн был съеден зря.. Народ в недоумении!

а для перевода информации с иностранных onion сайтов и вставки её в ордер использовало google translate^[link174]. Добавляет пикантности использование в ордере тех цитат с сайтов, которые предостерегают юзеров от использования google translate:

one post was entitled "To all English users" and it contained the following text:
This forum is not for English speaking users. If you write in English your user and all your posts will deleted on sight. So if you're Swedish, Norwegian, or Danish, please write in your native language, we will understand. And don't try to use google translate [sic]. It does a poor job and we can tell. The Admin team.

04/04/2016 18:41, на pgpru писалось о:
https://www.pgpru.com/comment94833
продолжение:
https://www.pgpru.com/comment94847

Tutanota шифрует сообщения электронной почты автоматически из конца в конец, включая все вложения.

GhostMail

https://lavabit.com/ снова ожил. Обещают, что станет лучше, чем прежде.

К сожалению, хоть и прошло лет 10, а то и 15, лучшим анонимным ящиком остается проверенный чистый коммерческий прокси + популярный почтовик