id: Гость   вход   регистрация
текущее время 16:47 21/10/2017
Владелец: SATtva (создано 01/06/2015 18:13), редакция от 01/06/2015 18:13 (автор: SATtva) Печать
Категории: приватность, openpgp, инфобезопасность, прослушивание коммуникаций, защита email, стандарты
http://www.pgpru.com/Новости/2015/FacebookНачинаетПользоватьсяOpenPGP
создать
просмотр
редакции
ссылки

01.06 // Facebook начинает пользоваться OpenPGP


Facebook объявила о новом раунде борьбы за приватность пользователей: теперь можно указать в своем профиле публичный ключ OpenPGP, который будет использоваться для шифрования почтовых извещений. Кроме того, добавлена возможность обнародования этих ключей для использования всеми желающими, что может быстро превратить Facebook в крупнейший репозитарий OpenPGP-ключей.


Источник: BugTraq.ru, Facebook


 
На страницу: 1, 2 След.
Комментарии [скрыть комментарии/форму]
— sentaus (01/06/2015 19:23, исправлен 01/06/2015 19:39)   профиль/связь   <#>
комментариев: 1058   документов: 16   редакций: 32

А подписи на ключах будут приравниваться к добавлению в друзья? :)

— просто_Гость (02/06/2015 00:50)   профиль/связь   <#>
комментариев: 88   документов: 0   редакций: 0
В чем подвох? И сайт в tor и pgp-шифрование, а регистрация без телефона возможна? Где-то засада должна быть.
— guest342 (02/06/2015 09:47, исправлен 02/06/2015 09:48)   профиль/связь   <#>
комментариев: 6   документов: 0   редакций: 0

Шифруются только почтовые уведомления. Насчет внутренней переписки там ни слова, не надейтесь.


Где-то засада должна быть.

Facebook считает, что иметь часть информации о "нелояльной" аудитории лучше, чем не иметь ничего. Первая волна pgp-ключей будет указывать на самую заинтересованую аудиторию, на тех людей, которые уже знают и пользуются шифрованием. В любом случае, это пару лишних бит информации о пользователе.

— pgprubot (04/06/2015 23:42)   профиль/связь   <#>
комментариев: 511   документов: 2   редакций: 70

Подтверждение владением приватной частью ключа спрашивают? Можно чужой ключ указать?


Ага.


Не слышал, чтоб её отменяли. Как несколько лет назад ввели, так и всё.


Шифрование внутренней переписки центральным сервером, через который всё равно проходит весь plain text? Есть ли в этом смысл? Такое если и делать, то на JS и по образу и подобию crypto.cat, и в этом случае не уверен, что есть смысл завязываться именно на PGP, существуют более удачные альтернативы. Кстати, Dark Mail для шифрования почты в подобном стиле тоже использует не PGP, а другой стандарт.


Я не настолько конспирологичен, у меня другая версия (на мой взгляд, куда более естественно звучащая): facebook очень популярен у разного рода активистов, которые прячатся от местных правительств, но по сути — лица публичные и известные, конкретно от facebook'а им скрывать всё равно нечего. Для них эта соцсеть — антиценузрное, защищённое от взлома и антиDDoS медиа, больше им ничего не надо. В этом случае как раз оказывается кстати возможность зайти на facebook как на Tor HS, чтобы не афишировать сеанс связи и своё местоположение перед местными властями, равно и PGP-шифрование сообщений от соцсети подходит под эту модель угрозы. Мало кто может осилить собственный сайт, защитить его должным образом от взломов и DDoS'ов, поэтому многие проекты предпочитают вместо собственного хостинга иметь страницу в соцсетях. Мне так показалось, что в некоторых странах чуть ли ни часть государственных ведомств там располагаются — это их основной канал распространения информации в мир (как и twitter). Нередко бывает, что новостной сайт ссылается на заметку такого ведомства в facebook'е. Ну, а, вообще, есть тренд на шифрование после откровений Сноудена, telegram по этому же пути пошёл.

Про новость: в целом нововведение (шифрование почтовых уведомлений) правильное и полезное, но панацеей, конечно, не является и не делает из facebook'а средство действительно анонимной и защищённой связи.
— guest342 (05/06/2015 10:28, исправлен 05/06/2015 10:29)   профиль/связь   <#>
комментариев: 6   документов: 0   редакций: 0

разумеется



интересная точка зрения, спасибо

— ierixon (06/06/2015 12:58)   профиль/связь   <#>
комментариев: 11   документов: 0   редакций: 1
Подтверждение владением приватной частью ключа спрашивают?

да, приходит письмо зашифрованное твоим ключом с ссылкой для подтверждения
— pgprubot (07/06/2015 06:06)   профиль/связь   <#>
комментариев: 511   документов: 2   редакций: 70

На pgpru.com сделано не так — тут требуется подпись случайной строки своим ключом, и этот вариант, думаю, безопасней (у противника не получится брутфорсить ответ, подбирая одноразовые ссылки подтверждения).
— SATtva (07/06/2015 10:27)   профиль/связь   <#>
комментариев: 11513   документов: 1035   редакций: 4026
Если случайная строка в ссылке содержит достаточно энтропии, то разница не принципиальна. Более существенное различие нашей и их схем в том, что у нас пользователь доказывает владение (под)ключом подписи, а там — подключом шифрования.
— pgprubot (09/06/2015 06:39, исправлен 09/06/2015 06:40)   профиль/связь   <#>
комментариев: 511   документов: 2   редакций: 70

Кстати, по антицензурности и защите от блокировок соцсеть может быть более стойкой (в модели угрозы активистов), чем персональные сайты проектов. Внести в чёрные списки какие-то личные сайты с конкретными доменными именами — это одно, а как заблокировать конкретные страницы в популярной соцсети, не блокируя её всю, если она на HTTPS, а сама добровольно блокировать контент отказывается? Не такой простой вопрос.

— просто_Гость (09/06/2015 13:15)   профиль/связь   <#>
комментариев: 88   документов: 0   редакций: 0
На форуме написано, что они сообщения будут подписывать своим ключом для пущей надежности.
— pgprubot (09/06/2015 19:39)   профиль/связь   <#>
комментариев: 511   документов: 2   редакций: 70
В смысле? На каком форуме? Facebook требует, чтобы пользователь, загрузивший ключ в свой профиль, все свои сообщения для соцсети (вручную) подписывал своим ключом?
— ierixon (09/06/2015 20:43)   профиль/связь   <#>
комментариев: 11   документов: 0   редакций: 1
В смысле? На каком форуме? Facebook требует, чтобы пользователь, загрузивший ключ в свой профиль, все свои сообщения для соцсети (вручную) подписывал своим ключом?

нет, фейсбук подписывает письмо своим ключом, и речь пока идет только о рассылках получаемых от фейсбука, это ведь пока единственный ф-ционал
— просто_Гость (09/06/2015 21:44)   профиль/связь   <#>
комментариев: 88   документов: 0   редакций: 0

Цитирование в оригинале наверно будет уместнее:
"Where encrypted notifications are enabled, Facebook will sign outbound messages using our own key to provide greater assurance that the contents of inbound emails are genuine. The Facebook key can be checked at keyservers such as SKS and MIT."
— pgprubot (10/06/2015 03:02)   профиль/связь   <#>
комментариев: 511   документов: 2   редакций: 70

Значит, ierixon всё правильно сказал.
— pgprubot (10/06/2015 04:28, исправлен 10/06/2015 04:35)   профиль/связь   <#>
комментариев: 511   документов: 2   редакций: 70

Как это работает


  • На pgpru.com:

    Я добавил открытый PGP-ключ в свой профиль на сайте, но недавно забыл пароль / утратил закрытый ключ, и теперь не могу его заменить. Не могли бы вы мне помочь?

    К сожалению, нет. Опубликование открытого ключа в профиле — это крайняя мера аутентификации. Все последующие действия по изменению этой части аккаунта требуют подтверждения с помощью цифровой подписи. Если вы не можете доказать своё владение этим ключом, то удалять или заменять его администрация сайта не вправе, исключений из этого правила не было и не будет. Если необходимо, вы можете зарегистрироваться на сайте повторно и загрузить в новый аккаунт свой новый ключ.

  • На jabber.at:

    GPG encrypt your confirmation emails

    You can now add your GPG key to account.jabber.at: Just click on Set email to give a GPG fingerprint that will be fetched from a keyserver or directly upload a public key. This will cause any confirmation emails to be signed and encrypted with GPG.

Warning: This obviously means that you can no longer reset your password if you loose your GPG key. Just upload your new key in this case.

А как на facebook? Как там решается проблема утраты ключа?

На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3